Det er ingen 100% sikker programvare. Alle programmer, på en eller annen måte, kan true sikkerheten til datamaskinen vår og dataene våre. Og jo mer komplekse programmene er, desto mer sannsynlig og lettere er det å finne disse feilene. Derfor jobber både forskere og utviklere kontinuerlig med å finne og fikse alle nye feil som kan utgjøre en fare for brukerne. Og så viktig er dette arbeidet at det til og med er konkurranser for å finne og utnytte feil, for eksempel Pwn2Own.
Sikkerhetsfeil i programvare kan oppdages på tre forskjellige måter. På den ene siden har hvert selskap (som Microsoft eller Google) sin egen forskere som analyserer produktene sine for sikkerhetsfeil. På den annen side er det selskaper som er dedikert til undersøke disse feilene og samle inn belønningene som selskaper tilbyr mot at informasjonen fortsetter å styrke sikkerheten til produktene sine. Og for det tredje er det hackere , som hele tiden leter etter nye svakheter i alle slags programmer for eget bruk eller for å selge til andre hackere på det svarte markedet.
Selv om salg av sårbarheter til andre hackere i lang tid har vært dominerende, takket være bug dusør belønningsprogrammer dette har blitt redusert, og det er mange brukere som foretrekker å offisielt rapportere en feil og tjene lovlige penger med den før de beveger seg i det svarte markedet. I tillegg tillater konkurranser som dette Pwn2Own grupper av hackere å kjempe mot hverandre på jakt etter sårbarheter i alle typer programmer, og tjene gode penger for hver oppdaget feil.
Pwn2Own 2021: Windows 10, Exchange og Microsoft Teams er de første som faller
I går den nye Pwn2Own 2021 konkurranse startet . Og på den første dagen har alvorlige sikkerhetsfeil blitt utnyttet på tre Microsoft-plattformer.
På den ene siden en gruppe hackere ( Viettel ) har oppnådd en belønning på 40,000 XNUMX dollar for å oppdage en null-dagers sikkerhetsfeil i Windows 10 . Denne feilen kan brukes for enhver systembruker for å få et SYSTEM-privilegienivå i operativsystemet.
På den annen side, et annet lag ( Devcore ) har hevet summen av $ 200,000 XNUMX for å finne en måte å kombinere to feil på utveksling , e-postserveren. Disse to feilene var av autentiseringsomgåelses- og privilegietilpasningstyper, og sammen kunne de tillate andre brukere å utføre ekstern kode på en server.
Og for det tredje har en individuell sikkerhetsforsker tjent 200,000 XNUMX dollar innen som kombinerer to Microsoft Teams sikkerhetsfeil og få kode til å kjøre gjennom selskapets bedriftsmeldinger plattform.
Totalt har $ 440,000 2 blitt distribuert den første dagen i Pwn2021Own 90. Disse feilene er selvfølgelig allerede rapportert til Microsoft, som har XNUMX dager på seg til å fikse dem før teknisk informasjon om dem blir offentliggjort.
Denne første dagen har feil også blitt utnyttet i macOS (tilgang til kjernen gjennom Safari) og i Ubuntu.
e vil se nye sårbarheter de neste dagene
I dag vil finne sted den andre dagen i denne konkurransen. Og i henhold til forskernes planer vil hovedmålene være Google Chrome Microsoft Edge (Chromium) og Zoom Budbringer. Også andre hackergrupper vil prøve å finne og utnytte andre feil i Windows 10, Exchange og MS Teams.
Som i det forrige tilfellet, vil bare eksistensen av feilen demonstreres, og disse vil bli rapportert til utviklerne. Av sikkerhetsmessige årsaker vil ingen informasjon om feilene være kjent i opptil 90 dager, for å forhindre at de blir utnyttet masse på nettverket.
