Pwn2Own: Уязвимости позволяют взломать Windows 10

Не существует 100% безопасного программного обеспечения. Все программы так или иначе могут поставить под угрозу безопасность нашего компьютера и наших данных. И чем сложнее программы, тем больше вероятность и легче найти эти ошибки. Поэтому и исследователи, и разработчики постоянно работают над поиском и исправлением всех новых ошибок, которые могут представлять опасность для пользователей. И эта работа настолько важна, что даже проводятся конкурсы на поиск и использование ошибок, таких как Pwn2Own.

Pwn2Own: Уязвимости позволяют взломать Windows 10

Недостатки безопасности в программном обеспечении можно обнаружить тремя разными способами. С одной стороны, у каждой компании (например, Microsoft или Google) есть свои Исследователи которые анализируют свои продукты на предмет недостатков безопасности. С другой стороны, есть компании, которые расследование этих неудач и сбор награды которые компании предлагают в обмен на информацию для дальнейшего повышения безопасности своих продуктов. И в-третьих, есть Хакеры , которые постоянно ищут новые слабые места во всевозможных программах для собственного использования или для продажи другим хакерам на черном рынке.

Хотя долгое время продажа уязвимостей другим хакерам была преобладающей, благодаря Баунти Бауг В программах вознаграждений это количество было сокращено, и есть много пользователей, которые предпочитают официально сообщать об ошибке и зарабатывать на этом законные деньги, прежде чем перейти на черный рынок. Кроме того, такие соревнования, как этот Pwn2Own, позволяют группам хакеров сражаться друг с другом в поисках уязвимостей во всех типах программ и зарабатывать хорошие деньги за каждую обнаруженную уязвимость.

Pwn2Own 2021: Windows 10, Exchange и Microsoft Teams упадут первыми

Вчера новый Pwn2Own 2021 конкурс началась . В первый же день на трех платформах Microsoft были обнаружены серьезные бреши в безопасности.

С одной стороны, группа хакеров ( Viettel ) получил вознаграждение в 40,000 долларов за обнаружение недостаток безопасности нулевого дня в Windows 10 . Этот недостаток может быть использован любым системным пользователем для получения уровня привилегий SYSTEM в операционной системе.

С другой стороны, другая команда ( Devcore ) Имеет поднятый сумма в 200,000 долларов за поиск способа совмещения двух неудач Обмен , почтовый сервер. Эти два недостатка относились к типам обхода аутентификации и повышения привилегий, и вместе они могли позволить другим пользователям выполнять удаленный код на сервере.

И в-третьих, отдельный исследователь безопасности заработал 200,000 XNUMX долларов сочетание двух недостатков безопасности Microsoft Teams и получить код для запуска через корпоративный обмен сообщениями Платформа .

Всего в первый день Pwn440,000Own 2 было распределено 2021 90 долларов. Об этих ошибках, конечно же, уже было сообщено в Microsoft, у которой есть XNUMX дней, чтобы исправить их, прежде чем техническая информация о них станет общедоступной.

В этот первый день также были обнаружены ошибки в macOS (доступ к ядру через Safari) и в Ubuntu.

e увидит новые уязвимости в ближайшие дни

Сегодня состоится второй день соревнований. И по планам исследователей, основной целью станет Google. Chrome Microsoft край (Хром) и С зумом Посланник. Кроме того, другие хакерские группы попытаются найти и использовать другие недостатки в Windows 10, Exchange и MS Teams.

Как и в предыдущем случае, будет продемонстрировано только наличие неисправности, о чем будет сообщено разработчикам. По соображениям безопасности информация о сбоях не будет известна в течение 90 дней, чтобы предотвратить их массовое использование в сети.