Det finns ingen 100% säker programvara. Alla program kan på ett eller annat sätt äventyra säkerheten för vår dator och våra data. Och ju mer komplexa programmen är, desto mer sannolikt och lättare är det att hitta dessa buggar. Därför arbetar både forskare och utvecklare ständigt med att hitta och fixa alla nya buggar som kan utgöra en fara för användarna. Och så viktigt är det här arbetet att det till och med tävlar för att hitta och utnyttja buggar, till exempel Pwn2Own.
Säkerhetsfel i programvaran kan upptäckas på tre olika sätt. Å ena sidan har varje företag (som Microsoft eller Google) sin egen forskare som analyserar sina produkter för säkerhetsfel. Å andra sidan finns det företag som är dedikerade till undersöka dessa misslyckanden och samla belöningarna som företag erbjuder i utbyte mot att informationen fortsätter att stärka säkerheten för sina produkter. Och för det tredje finns det hackare , som ständigt letar efter nya svagheter i alla typer av program för eget bruk eller att sälja till andra hackare på den svarta marknaden.
Även om försäljningen av sårbarheter till andra hackare under en lång tid har varit dominerande, tack vare buggpris belöningsprogram har minskat, och det finns många användare som föredrar att officiellt rapportera ett fel och tjäna lagliga pengar med det innan de flyttar på den svarta marknaden. Dessutom tillåter tävlingar som denna Pwn2Own grupper av hackare att slåss mot varandra på jakt efter sårbarheter i alla typer av program och tjäna bra pengar för varje upptäckt fel.
Pwn2Own 2021: Windows 10, Exchange och Microsoft Teams är de första som faller
Igår den nya Pwn2Own 2021 konkurrens igång . Och den första dagen har allvarliga säkerhetsfel utnyttjats på tre Microsoft-plattformar.
Å ena sidan en grupp hackare ( Viettel ) har fått en belöning på 40,000 XNUMX dollar för att upptäcka en nolldagars säkerhetsfel i Windows 10 . Denna brist kan användas för alla systemanvändare för att få en SYSTEM-behörighetsnivå i operativsystemet.
Å andra sidan, ett annat lag ( Devcore ) har insamlat summan av $ 200,000 XNUMX för att hitta ett sätt att kombinera två fel på utbyte , e-postservern. Dessa två brister var av autentiseringsbypass och eskalering av privilegier, och tillsammans kunde de tillåta andra användare att köra fjärrkod på en server.
Och för det tredje har en enskild säkerhetsforskare tjänat 200,000 XNUMX dollar per kombinerar två Microsoft Teams säkerhetsfel och få kod att köra igenom företagets företagsmeddelanden plattform.
Totalt har 440,000 2 dollar distribuerats den första dagen av Pwn2021Own 90. Dessa buggar har naturligtvis redan rapporterats till Microsoft, som har XNUMX dagar på sig att fixa dem innan teknisk information om dem offentliggörs.
Den första dagen har buggar också utnyttjats i macOS (åtkomst till kärnan via Safari) och i Ubuntu.
e kommer att se nya sårbarheter de närmaste dagarna
Idag kommer den andra dagen i tävlingen att äga rum. Och enligt forskarnas planer är de viktigaste målen Google krom Microsoft kant (Krom) och Zoom Budbärare. Andra hackargrupper kommer också att försöka hitta och utnyttja andra brister i Windows 10, Exchange och MS Teams.
Som i föregående fall kommer endast felet att demonstreras och dessa kommer att rapporteras till utvecklarna. Av säkerhetsskäl kommer ingen information om felen att vara känd i upp till 90 dagar för att förhindra att de utnyttjas massvis i nätverket.
