Хакери су користили ивицу да би заобишли вмваре радну станицу током пвн2овн 2017

Видео: Анна Седокова Между нами кайф 2024

Видео: Анна Седокова Между нами кайф 2024
Anonim

Овогодишњи конкурс Пвн2Овн завршио се након три дана хаковања претраживача и оперативних система. На крају је Мицрософт-ов прегледач Едге постао губитник након што није успео да одузме нападе током догађаја.

Тим из кинеске фирме за заштиту Кихоо 360 искористио је Едге и повезао две безбедносне грешке како би се извукао од домаћина ВМваре Воркстатион. Тим је добио награду од 105.000 долара као награду за откривање рањивости. Зеро Даи Инитиативе, која је спонзорисала такмичење, рекла је у посту на блогу:

Наш дан је почео тако што су људи из компаније 360 Сецурити (@ мј0011сец) покушали да потпуно изгубе виртуелну машину кроз Мицрософт Едге. У првом за Пвн2Овн такмичење, они су апсолутно успели коришћењем прелива у Мицрософт Едге-у, конфузије типа у језгру Виндовс и неиницијализованог међуспремника у ВМваре Воркстатион-у за потпуно одустајање од виртуелне машине. Ове три бугове зарадиле су им 105.000 долара и 27 Мастер Пвн бодова. Неће тачно рећи колико им је трајало истраживање, али за демонстрацију кода било је потребно само 90 секунди.

Следећи је био Рицхард Зху (флуоресценција) који је циљао Мицрософт Едге са ескалацијом на нивоу СИСТЕМА. Иако му први покушај није успео, његов други покушај искористио је две одвојене грешке употребе без употребе (УАФ) у Мицрософт Едге-у, а затим је ескалирао до СИСТЕМ помоћу прекривања бафера у Виндовс језгри. То му је прикупило 55.000 долара и 14 бодова за Мастер оф Пвн.

Тенцент Сецурити је такође добио 100.000 долара за други излазак на ВМваре Воркстатион. ЗДИ објаснио:

Финални догађај и за дан и за такмичење имао је Тенцент Сецурити - Теам Снипер (Кеен Лаб и ПЦ Мгр) који је циљао на ВМВаре Воркстатион (Гуест-то-Хост), а догађај се сигурно није завршио шаптањем. Користили су ланац са три грешке да би освојили категорију „Есцапес за виртуелне машине“ (Гуест-то-Хост) са ВМВаре Воркстатион експлоатацијом. То је укључивало Виндовс кернел УАФ, инфолеак Воркстатион-а и неиницијализовани међуспремник у Воркстатион-у да би се гост-домаћин одржао. Ова категорија је још више повећала потешкоће јер ВМваре Тоолс нису инсталиране у госту.

Иако за такмичење Пвн2Овн недостаје фер метода напада на сваки претраживач у једнакој мери, Мицрософт очигледно има још дуг пут да побољша безбедност Едге-а.

Хакери су користили ивицу да би заобишли вмваре радну станицу током пвн2овн 2017