Результаты первого дня Pwn2Own 2021: Microsoft Teams, Exchange Server и многое другое

Pwn2Own 2021 начал свою трехдневную работу 6 апреля 2021 года в 10:00 по восточному стандартному времени. Мероприятие транслировалось на YouTube, Twitch и на веб-сайте конференции. В этом году запланировано 23 попытки в течение 3 дней с таргетингом на 10 продуктов. Результаты первого дня завершились успешными попытками взлома Microsoft Exchange, Microsoft Teams, Windows 10 и браузера Safari от Apple.

Изображение предоставлено: Youtube

Для тех, кто еще задается вопросом, вот краткая заметка о Pwn2Own, которая конкурс этического компьютерного взлома, проводимый ежегодно на конференции по безопасности CanSecWest. Основная цель этого конкурса — продемонстрировать уязвимости безопасности в наиболее часто используемом программном обеспечении. Команды, успешно подчеркнувшие эти недостатки, награждаются денежными призами.

Результаты первого дня Pwn2Own 2021

В этом году Pwn2Own организовала один из крупнейших конкурсов по сравнению с предыдущими годами. Первый успешный результат был достигнут Джеком Дейтсом из RET2 Systems, который выиграл 100 000 долларов в категории «Веб-браузер», используя целочисленное переполнение в Safari от Apple. За этим последовала команда Devcore, получившая 200 000 долларов за захват Microsoft Exchange Server.

Изображение: YouTube

Двигаясь дальше, Microsoft Teams стала следующей, которую взломал исследователь, который объединил пару ошибок, чтобы продемонстрировать выполнение кода. Эти усилия были вознаграждены 200 000 долларов, и следующее мероприятие удивит большинство из нас. Команда Viettel вошла в систему на ПК с Windows 10 как обычный пользователь и получила все системные привилегии, используя целочисленное переполнение. Это помогло команде заработать 40 000 долларов в первый день, пока команда готовится к завтрашней атаке на Microsoft Exchange.

Изображение предоставлено: YouTube

Из-за взлома Windows 10 Ubuntu Desktop также не смогла найти удачу, как Рёта Сига из Flatt Security Inc превратилась из обычного пользователя в пользователя root. Этот подвиг был достигнут с помощью ошибки доступа OOB и заработал 30 000 долларов в качестве награды.

Изображение предоставлено: YouTube

Однако не все команды добились сегодня успеха, как команда Star Labs, которая ориентировалась на Parallels Desktop и Oracle. VirtualBox в двух отдельных мероприятиях не смог добиться успеха ни в одной из попыток.

Нажмите здесь, чтобы просмотреть подробное расписание Pwn2Own 2021

_{Читать: 0}