Il n'y a pas de logiciel 100% sécurisé. Tous les programmes, d'une manière ou d'une autre, peuvent mettre en danger la sécurité de notre ordinateur et de nos données. Et plus les programmes sont complexes, plus il est probable et facile de trouver ces bogues. Par conséquent, les chercheurs et les développeurs travaillent constamment à la recherche et à la correction de tous les nouveaux bogues pouvant présenter un danger pour les utilisateurs. Et ce travail est si important qu'il y a même des concours pour trouver et exploiter des bogues, tels que Pwn2Own.
Les failles de sécurité des logiciels peuvent être découvertes de trois manières différentes. D'une part, chaque entreprise (comme Microsoft ou Google) a son propre chercheurs qui analysent leurs produits pour détecter les failles de sécurité. D'autre part, il existe des entreprises qui se consacrent à enquêter sur ces échecs et collecter les récompenses que les entreprises offrent en échange d'informations pour continuer à renforcer la sécurité de leurs produits. Et troisièmement, il y a les pirates , qui sont constamment à la recherche de nouvelles faiblesses dans toutes sortes de programmes pour leur propre usage ou pour les vendre à d'autres hackers sur le marché noir.
Bien que depuis longtemps la vente de vulnérabilités à d'autres pirates informatiques ait été prédominante, grâce à la Bug Bounty programmes de récompenses cela a été réduit, et de nombreux utilisateurs préfèrent signaler officiellement un bogue et gagner de l'argent légal avec lui avant de passer au marché noir. De plus, des compétitions comme celle-ci Pwn2Own permettent à des groupes de hackers de s'affronter à la recherche de vulnérabilités dans tous les types de programmes, et de gagner beaucoup d'argent pour chaque faille détectée.
Pwn2Own 2021: Windows 10, Exchange et Microsoft Teams sont les premiers à tomber
Hier le nouveau Pwn2Possède 2021 concurrence j'ai commencé . Et le premier jour, de graves failles de sécurité ont été exploitées sur trois plates-formes Microsoft.
D'une part, un groupe de hackers ( Viettel ) a obtenu une récompense de 40,000 dollars pour avoir découvert un faille de sécurité zero-day dans Windows 10 . Cette faille peut être utilisée par n'importe quel utilisateur du système pour obtenir un niveau de privilège SYSTEM dans le système d'exploitation.
D'autre part, une autre équipe ( Devcore ) A collectés la somme de 200,000 XNUMX $ pour trouver un moyen de combiner deux échecs de Échange , le serveur de messagerie. Ces deux failles étaient des types de contournement d'authentification et d'élévation de privilèges, et ensemble, elles pourraient permettre à d'autres utilisateurs d'exécuter du code à distance sur un serveur.
Et troisièmement, un chercheur en sécurité individuel a gagné 200,000 XNUMX $ en combinaison de deux failles de sécurité Microsoft Teams et faire passer le code à travers l'entreprise messagerie d'entreprise Plate-forme .
Au total, 440,000 2 $ ont été distribués le premier jour de Pwn2021Own 90. Ces bogues, bien entendu, ont déjà été signalés à Microsoft, qui dispose de XNUMX jours pour les corriger avant que les informations techniques les concernant ne soient rendues publiques.
Lors de ce premier jour, des bugs ont également été exploités dans macOS (accès au noyau via Safari) et dans Ubuntu.
Nous verrons de nouvelles vulnérabilités dans les prochains jours
Aujourd'hui aura lieu le deuxième jour de cette compétition. Et selon les plans des chercheurs, les principales cibles seront Google Chrome Microsoft Edge (Chrome) et Zoom Messager. En outre, d'autres groupes de pirates tenteront de trouver et d'exploiter d'autres failles dans Windows 10, Exchange et MS Teams.
Comme dans le cas précédent, seule l'existence du défaut sera démontrée, et celles-ci seront signalées aux développeurs. Pour des raisons de sécurité, aucune information sur les pannes ne sera connue jusqu'à 90 jours, afin d'éviter qu'elles ne soient exploitées en masse sur le réseau.
