%100 güvenli bir yazılım yoktur. Tüm programlar bir şekilde bilgisayarımızın ve verilerimizin güvenliğini tehlikeye atabilir. Ve programlar ne kadar karmaşıksa, bu hataları bulmak o kadar olası ve kolay olur. Bu nedenle hem araştırmacılar hem de geliştiriciler, kullanıcılar için tehlike oluşturabilecek tüm yeni hataları bulmak ve çözmek için sürekli çalışıyor. Ve bu çalışma o kadar önemlidir ki, böcekleri bulmak ve kullanmak için yarışmalar bile vardır. Pwn2Own.
Yazılımdaki güvenlik kusurları üç farklı şekilde keşfedilebilir. Bir yandan, her şirketin (Microsoft veya Google gibi) kendi araştırmacılar ürünlerini güvenlik kusurları için tarayan. Öte yandan, kendini adamış şirketler var. bu hataları araştırın ve ödülleri toplayın bilgi karşılığında şirketler tarafından sunulan ürünlerin güvenliğini güçlendirmeye devam etmek. Ve üçüncü sırada yer alan bilgisayar korsanlarıKendi kullanımları için veya karaborsadaki diğer korsanlara satmak için her türlü programda sürekli olarak yeni zayıflıklar arayanlar.
Güvenlik açıklarının diğer bilgisayar korsanlarına satışı uzun süredir baskın olmasına rağmen, ödül programları sayesinde Hata Ödülü bu azaltıldı ve karaborsada hareket etmek yerine bir hatayı resmi olarak bildirmeyi ve bununla yasal para kazanmayı tercih eden birçok kullanıcı var. Ek olarak, bu Pwn2Own gibi yarışmalar, hacker gruplarının her türlü programdaki güvenlik açıklarını aramak için birbirleriyle yüzleşmelerine ve tespit edilen her hata için iyi para kazanmalarına izin verir.
Pwn2Own 2021: Windows 10, Exchange ve Microsoft Teams ilk düşenler
Dün yeni yarışma başladı Pwn2Own 2021. Ve ilk gününde, üç Microsoft platformunda ciddi güvenlik açıklarından yararlanıldı.
Bir yanda bir grup hacker (Viettel) keşfettiği için 40.000 $ ödül kazandı. Windows 10’da sıfır gün güvenlik açığı. Bu kusur, sistemdeki herhangi bir kullanıcının işletim sisteminde SİSTEM düzeyinde ayrıcalıklar kazanması için kullanılabilir.
onaylanmış! z3r09, izinlerini NT AuthoritySYSTEM’e yükseltmek için bir tamsayı taşması kullandı. Etkileyici görüntüsü ona 40.000 dolar ve Master of Pwn’a 4 puan kazandırıyor. pic.twitter.com/8FedmaZbuk
— Zero Day Initiative (@thezdi) 7 Nisan 2021
Öte yandan, başka bir ekip (geliştirici çekirdeği) iki başarısızlığı birleştirmenin bir yolunu bularak toplam 200.000 $ kazandı. Değiş tokuş, posta sunucusu. Bu iki kusur, kimlik doğrulama atlama ve ayrıcalık yükseltme türündeydi ve birlikte diğer kullanıcıların bir sunucuda uzak kod yürütmesine izin verebilirdi.
onaylanmış! Devcore ekibi, #Exchange sunucusunu devralmak için bir kimlik doğrulama atlama ve bir ayrıcalık yükseltme kullandı. Tam 200.000 $ ve 20 Master of Pwn puanı kazanırlar. pic.twitter.com/8JC20w768f
— Zero Day Initiative (@thezdi) 6 Nisan 2021
Üçüncüsü, bireysel bir güvenlik araştırmacısı kişi başına 200.000 dolar kazandı. iki Microsoft Teams güvenlik açığını birleştirin ve şirketin kurumsal mesajlaşma platformu aracılığıyla yürütülen kodu alın.
onaylanmış! OV, #Microsoft #Teams’i tehlikeye atmak ve kod yürütmesini sağlamak için bir çift hata kullandı. Master of Pwn’a karşı 200.000 $ ve 20 puan kazandı. #Pwn2Own #P2O pic.twitter.com/gLhWUbJNJN
— Zero Day Initiative (@thezdi) 6 Nisan 2021
Pwn2Own 2021’in ilk gününde toplamda 440.000 dolar dağıtıldı. Bu hatalar, elbette, Microsoft’a zaten bildirildi ve Microsoft’a, bunlarla ilgili teknik bilgiler kamuoyuna açıklanmadan önce bunları düzeltmesi için 90 günü var.
Bu ilk günde, macOS’ta (Safari üzerinden Çekirdek erişimi) ve Ubuntu’da da hatalardan yararlanıldı.
Başarılar! Manfred Paul, #Ubuntu Desktop’ta yerel ayrıcalık artışını bize göstermek için hiç zaman kaybetmedi. Tüm ayrıntıları sağlamak için ifşa çağrısına gider. #Pwn2Kendi
— Zero Day Initiative (@thezdi) 7 Nisan 2021
Önümüzdeki günlerde yeni güvenlik açıkları göreceğiz
Bugün bu yarışmanın ikinci günü yapılacak. Ve araştırmacıların planlarına göre ana hedefler Google olacak. KromMicrosoft Köşe (Krom) ve yakınlaştırma Haberci. Ayrıca, diğer hacker grupları Windows 10, Exchange ve MS Teams’deki diğer kusurları bulmaya ve bunlardan yararlanmaya çalışacaktır.
Önceki durumda olduğu gibi, yalnızca hatanın varlığı gösterilecek ve bunlar geliştiricilere bildirilecektir. 90 gün içinde, güvenlik nedenleriyle, ağda büyük ölçüde istismar edilmelerini önlemek için hatalar hakkında hiçbir bilgi bilinmeyecektir.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…
