DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Windows 11 và Microsoft Team bị đánh bại trong cuộc thi Pwn2Own Vancouver 2022
Trong ngày đầu tiên của cuộc thi Pwn2Own Vancouver 2022, các nhà nghiên cứu đã giành được 800.000 USD sau khi khai thác thành công 16 lỗi zero-day trong nhiều sản phẩm, bao gồm cả hệ điều hành Windows 11 và nền tảng giao tiếp Microsoft Team.
Bị đánh bại đầu tiên trong cuộc thi là Microsoft Team sau khi nhà nghiên cứu Hector Peralta khai thác thành công lỗi cấu hình không phù hợp.
Nhóm STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan và Nguyễn Hoàng Thạch) thực hiện thành công chuỗi khai thác zero-click gồm 2 lỗi (chèn và ghi tệp tùy ý).
Microsoft Team tiếp tục bị hack bởi Masato Kinugawa qua việc khai thác chuỗi 3 lỗi gồm lỗi chèn lệnh, cấu hình sai và thoát hộp cát. Mỗi nhà nghiên cứu nhận được giải thưởng 150.000 USD cho những phát hiện.
STAR Labs cũng kiếm được 40.000 USD sau khi nâng cao đặc quyền trên hệ thống chạy Windows 11 bằng cách sử dụng lỗi Use-After-Free và 40.000 USD tiền thưởng khi phát hiện ra lỗi leo thang đặc quyền trong Oracle Virtualbox.
Manfred Paul (@_manfp) cũng demo thành công 2 lỗi (prototype pollution và xác thực đầu vào không đúng cách) để hack Mozilla Firefox và một lỗi ghi ngoài biên trên Apple Safari, kiếm được 150.000 USD.
Trong ngày đầu tiên của cuộc thi, nhiều lỗ hổng 0-day trong Windows 11 và Ubuntu Desktop cũng được phát hiện bởi nhà nghiên cứu Marcin Wiązowski, Keith Yeo và đội Team Orca of Sea Security.
Mục tiêu của các nhà nghiên cứu trong ngày thứ 2 của Pwn2Own là hệ thống thông tin giải trí Tesla Model 3 (với Sandbox Escape) và Diagnostic Ethernet (với Root Persistence), Windows 11 và Ubuntu Desktop.
Sau khi các lỗ hổng được phát hiện và tiết lộ trong Pwn2Own, các nhà cung cấp phần mềm và phần cứng có 90 ngày để phát triển và phát hành các bản vá cho tất cả các lỗi được báo cáo.
Trong cuộc thi Pwn2Own Vancouver 2022, các nhà nghiên cứu sẽ nhắm mục tiêu đến các sản phẩm trong trình duyệt web, ảo hóa, leo thang đặc quyền cục bộ, máy chủ, truyền thông doanh nghiệp và máy tự động.
Phần thưởng của Pwn2Own lên đến 1.000.000 USD tiền mặt và giải thưởng, bao gồm một chiếc Tesla Model 3 và một chiếc Tesla Model S.
Bị đánh bại đầu tiên trong cuộc thi là Microsoft Team sau khi nhà nghiên cứu Hector Peralta khai thác thành công lỗi cấu hình không phù hợp.
Nhóm STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan và Nguyễn Hoàng Thạch) thực hiện thành công chuỗi khai thác zero-click gồm 2 lỗi (chèn và ghi tệp tùy ý).
Microsoft Team tiếp tục bị hack bởi Masato Kinugawa qua việc khai thác chuỗi 3 lỗi gồm lỗi chèn lệnh, cấu hình sai và thoát hộp cát. Mỗi nhà nghiên cứu nhận được giải thưởng 150.000 USD cho những phát hiện.
STAR Labs cũng kiếm được 40.000 USD sau khi nâng cao đặc quyền trên hệ thống chạy Windows 11 bằng cách sử dụng lỗi Use-After-Free và 40.000 USD tiền thưởng khi phát hiện ra lỗi leo thang đặc quyền trong Oracle Virtualbox.
Manfred Paul (@_manfp) cũng demo thành công 2 lỗi (prototype pollution và xác thực đầu vào không đúng cách) để hack Mozilla Firefox và một lỗi ghi ngoài biên trên Apple Safari, kiếm được 150.000 USD.
Trong ngày đầu tiên của cuộc thi, nhiều lỗ hổng 0-day trong Windows 11 và Ubuntu Desktop cũng được phát hiện bởi nhà nghiên cứu Marcin Wiązowski, Keith Yeo và đội Team Orca of Sea Security.
Mục tiêu của các nhà nghiên cứu trong ngày thứ 2 của Pwn2Own là hệ thống thông tin giải trí Tesla Model 3 (với Sandbox Escape) và Diagnostic Ethernet (với Root Persistence), Windows 11 và Ubuntu Desktop.
Sau khi các lỗ hổng được phát hiện và tiết lộ trong Pwn2Own, các nhà cung cấp phần mềm và phần cứng có 90 ngày để phát triển và phát hành các bản vá cho tất cả các lỗi được báo cáo.
Trong cuộc thi Pwn2Own Vancouver 2022, các nhà nghiên cứu sẽ nhắm mục tiêu đến các sản phẩm trong trình duyệt web, ảo hóa, leo thang đặc quyền cục bộ, máy chủ, truyền thông doanh nghiệp và máy tự động.
Phần thưởng của Pwn2Own lên đến 1.000.000 USD tiền mặt và giải thưởng, bao gồm một chiếc Tesla Model 3 và một chiếc Tesla Model S.
Theo: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: