Bu günler yaşanıyor Pwn2Own, en iyi bilgisayar korsanlarının ve güvenlik araştırmacılarının, işletim sistemleri ve günlük kullanım programlarındaki güvenlik açıklarını bulmak ve bunlardan yararlanmak için rekabet ettiği bir yarışma. Tespit edilen tüm bu arızalar, ilgili teknik detayları yayınlamadan önce çözmek için 90 günü olan sorumlu şirketlere bildirilir. Hackerlar ve araştırmacılar, elbette, bu kusurları bulup kullanmak için on binlerce dolar ödül alıyorlar.
Daha dün, yarışmanın ilk gününde bilgisayar korsanlarının Windows 1o’da herhangi bir kullanıcının bilgisayarda SİSTEM izinleri almasına izin veren ciddi bir güvenlik açığı bulduğunu anlattık. Ayrıca, Microsoft’un şirketler için posta sunucusu olan Exchange veya şirketin profesyonel mesajlaşma platformu Teams gibi sistemdeki diğer noktalarda da ciddi kusurlar bulundu.
Şimdi, yarışmanın ikinci gününde Windows 10 tekrar düştü. Her ne kadar iyi ya da kötü olsa da, bunu yapan tek kişi o değildi.
Pwn2Own 2021’in ikinci gününde yeni programlar hacklendi
Bir kez daha, Windows 10 bu hackerların önüne düştü. Microsoft’un işletim sistemi, herhangi bir normal ayrıcalıklı olmayan kullanıcıdan herhangi birinin SİSTEM düzeyinde ayrıcalıklar elde etmesine izin veren yeni ciddi kusurlara sahiptir. Bu tür bir arıza, örneğin kötü amaçlı yazılımların sistemin tam kontrolünü ele geçirmesi ve hatta antivirüsü atlaması için kullanılabileceğini hesaba katarsak çok ciddi olabilir. Bu başarısızlığı bulan müfettişler toplam 40.000 dolar aldı.
onaylanmış! Marcin, #Pwn2Own 2021’i galibiyetle tamamladı. #Windows10’da SYSTEM’e yükseltmek için bir UAF kullandım. 40.000$ ve dört Master of Pwn puanı kazanıyor. pic.twitter.com/SPHKLH1bBE
— Zero Day Initiative (@thezdi) 8 Nisan 2021
Diğer araştırmacılar da güvenliğini hacklemeyi başardılar. Krom ve herhangi bir Chromium tabanlı tarayıcı (Edge gibi). Tarayıcı motorunda, keşfedildiğinde bu bilgisayar korsanlarına 100.000 $ kazandıran bir Tür Uyuşmazlığı hatası var.
onaylanmış! @bkth_ & @_niklasb’ın @dfsec_it ekibi, #Chrome oluşturucu ve #Microsoft #Edge’den yararlanmak için bir Typer Uyuşmazlığı hatası kullandı. Toplam 100.000$ ve 10 Master of Pwn puanı kazanırlar. #Pwn2Own pic.twitter.com/6mpl5GPz6c
— Zero Day Initiative (@thezdi) 7 Nisan 2021
ZoomMessenger2020 yılında pandemi ve telekomünikasyon ile en çok popülerlik kazanan platformlardan biri olan , güvenlik araştırmacılarının da kurbanı oldu. Üç farklı kusuru birleştiren bu bilgisayar korsanları, sistemde izinsiz kod yürütmek için kullanıcı müdahalesi gerektirmeyen bir istismar yaratmayı başardılar. Bu başarısızlığın ödülü: 200.000 dolardan fazla ve az değil.
onaylanmış! Computest’ten Daan Keuper ve Thijs Alkemade ikilisi, hedeften 0 tıklama ile #Zoom messenger’dan yararlanmak için 3 hata zinciri kullandı. Master of Pwn’a karşı 200.000 $ ve 20 puan kazanıyorlar. #Pwn2Own pic.twitter.com/dLFpH1uq8G
— Zero Day Initiative (@thezdi) 7 Nisan 2021
paraleller masaüstümacOS sanallaştırma yazılımı da bu ikinci günde düştü ve Ubuntuikinci kez herhangi bir kullanıcının root olmasına izin verebilecek ciddi bir güvenlik açığı gösteriyor.
onaylanmış! Synaktiv’den Vincent Dehors, normal bir kullanıcıdan #Ubuntu’da kök salmaya yükselmek için ilk Linux istismarında bir çift ücretsiz hata kullandı. Kendisi 30.000$ ve Master of Pwn’a karşı 3 puan kazanıyor. #Pwn2Own pic.twitter.com/Tmc7MvOIKL
— Zero Day Initiative (@thezdi) 8 Nisan 2021
Gelelim yarışmanın üçüncü gününe: Yine düşecekler mi?
Şimdi, bilgisayar korsanları zaten Pwn2Own’un üçüncü günü için hazırlanıyorlar. Bu üçüncü oturumda, bu güvenlik araştırmacıları, Microsoft’un daha az önemsediği ürünlerden ikisi olan Windows ve Exchange’e geri dönecekler. Ayrıca Ubuntu ve Parallels Desktop gibi diğer platformlarda da yeni zayıflıklar bulmaya çalışacaklar.
Sadece yarışmanın ilk iki gününde 1 milyon dolardan fazla ödül dağıtıldı. Ve en güçlü kalıntılar.
Şimdilik, endişelenecek bir şeyimiz yok. Geliştiricilerin güvenlik açıklarını düzeltmek için 90 günleri olduğunu ve bu arada tüm bilgilerin gizli kalacağını hatırlatırız. Bu süre geçtikten sonra, başarısızlıklar kamuoyuna açıklanacak ve o zaman sorunlar ortaya çıkacak.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…
