Windows 10, Microsoft Exchange và Teams bị đánh bại tại cuộc thi Pwn2Own

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 08/04/21, 11:04 AM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,899
    Đã được thích: 456
    Điểm thành tích:
    83
    Trong ngày đầu tiên của cuộc thi Pwn2Own 2021, các đội tham gia đã giành tổng cộng $440.000 sau khi khai thác thành công các lỗ hổng để tấn công hệ điều hành Windows 10, máy chủ thư Exchange và nền tảng giao tiếp Microsoft Teams.

    Trong hạng mục máy chủ, với mục tiêu là máy chủ Microsoft Exchange, nhóm Devcore đã có thể thực thi mã từ xa trên máy chủ Exchange bằng cách kết hợp hai lỗ hổng vượt qua xác thực và lỗ hổng nâng cao đặc quyền cục bộ. Nhóm kiếm được $200.000 và 20 điểm Master of Pwn.

    pwn.png

    Một nhà nghiên cứu bảo mật với nickname OV đã thành công thực thi mã trên Microsoft Teams bằng cách kết hợp hai lỗ hổng bảo mật riêng biệt. Qua đó, OV cũng kiếm được $200.000 và 20 điểm Master of Pwn.

    Ở hạng mục nâng cao đặc quyền, đội Viettel đã kiếm được $40.000 và 4 điểm Master of Pwn sau khi nâng cấp đặc quyền lên SYSTEM từ một người dùng thông thường trên Windows 10.

    Nhà nghiên cứu Jack Dates của RET2 Systems cũng giành $100.000 sau khi thực thi thành công mã cấp hạt nhân trên macOS bằng cách sử dụng lỗi tràn số nguyên trong Apple Safari và lỗi ghi ngoài biên.

    Nhà nghiên cứu Ryota Shiga của Flatt Security giành $30.000 với một lỗi truy cập OOB cho phép chiếm quyền root trên máy tính để bàn chạy Ubuntu.

    Vào ngày thứ hai, các đội tham Pwn2Own sẽ tiến hành tìm kiếm các lỗ hổng trong Google Chrome, Microsoft Edge (Chromium), Zoom Messenger, trong khi các đội khác sẽ thử khai thác các lỗi mới trong Microsoft Exchange, Windows 10, Ubuntu Desktop và Parallels Desktop.

    Sau khi các lỗ hổng được khai thác và tiết lộ trong Pwn2Own, các nhà cung cấp phần mềm và phần cứng có 90 ngày để phát triển và phát hành các bản sửa lỗi cho tất cả các lỗ hổng được báo cáo.

    Trong cuộc thi Pwn2Own 2021, 23 đội và nhà nghiên cứu sẽ nhắm mục tiêu đến 10 sản phẩm khác nhau trong các danh mục trình duyệt web, ảo hóa, máy chủ, nâng cấp đặc quyền cục bộ và truyền thông doanh nghiệp.

    Từ ngày 6/4 đến ngày 8/4, các đội tham gia Pwn2Own có thể kiếm được hơn 1.500.000 USD tiền mặt và giải thưởng, bao gồm cả một chiếc Tesla Model 3.

    Đội Fluoroacetate là đội đầu tiên giành được chiếc Tesla Model 3 tại cuộc thi Pwn2Own sau khi hack hệ thống thông tin giải trí dựa trên Chromium của chiếc xe hai năm trước.

    Họ cũng kiếm được $375.000 tại Pwn2Own 2019 sau khi khai thác thành công các lỗ hổng trong Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox và Microsoft Edge.

     
    Last edited by a moderator: 08/04/21, 11:04 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan