Hakeri su koristili rub da bi zaobišli vmware radnu stanicu tijekom pwn2own 2017
Video: ПОЛНАЯ НАСТРОЙКА VMWARE WORKSTATION 2024
Ovogodišnji natječaj Pwn2Own završio je nakon tri dana hakiranja preglednika i operativnih sustava. Na kraju je Microsoftov preglednik Edge postao gubitnik nakon što nije uspio odbiti napade tijekom događaja.
Tim kineske zaštitarske tvrtke Qihoo 360 iskoristio je Edge i povezao dvije sigurnosne propuste kako bi izbjegli od domaćina VMware Workstation. Tim je dobio nagradu od 105.000 dolara kao nagradu za otkrivanje ranjivosti. Zero Day Initiative, koja je sponzorirala natjecanje, rekla je u postu na blogu:
Naš je dan započeo kad su ljudi iz tvrtke 360 Security (@ mj0011sec) pokušali potpuno pobjeći od virtualnog stroja kroz Microsoft Edge. U prvom, za natjecanje Pwn2Own, apsolutno su uspjeli tako što su iskoristili prelijevanje gomile u Microsoft Edgeu, zbrku tipa u Windows jezgri i neinicijalizirani međuspremnik u VMware Workstation za potpuno bijeg od virtualnog računala. Ova tri buga zaradila su im 105.000 dolara i 27 Master Pwn bodova. Neće reći točno koliko im je trajalo istraživanje, ali za demonstraciju koda trebalo je samo 90 sekundi.
Slijedi Richard Zhu (fluorescencija) koji je ciljao Microsoft Edge s eskalacijom na razini SUSTAVA. Iako mu prvi pokušaj nije uspio, njegov drugi pokušaj utjecao je na dvije odvojene pogreške (UAF) u Microsoft Edgeu, a zatim je eskalirao na SYSTEM koristeći prekrivanje međuspremnika u Windows jezgri. To mu je prikupilo 55.000 dolara i 14 bodova prema Masteru Pwn-a.
Tencent Security je također dobio 100.000 dolara za drugi bijeg od VMware Workstation. ZDI je objasnio:
Završni događaj i za dan i za natjecanje imao je Tencent Security - Team Sniper (Keen Lab i PC Mgr) koji je ciljao na VMWare Workstation (Guest-to-Host), a događaj se sigurno nije završavao šapatom. Pomoću VMWare Workstation iskoristili su lanac s tri bube da bi osvojili kategoriju Escapes za virtualni stroj (Guest-to-Host). To je uključivalo WindowsF-ov kernel UAF, informativni propust za radnu stanicu i neinicijalizirani međuspremnik u Workstation-u da bi se otvorio gost-domaćin. Ova kategorija je dodatno povećala poteškoće jer VMware Alati nisu bili instalirani u gostu.
Iako u natječaju Pwn2Own nedostaje poštena metoda za napad na svaki preglednik u jednakoj mjeri, Microsoft očito još uvijek ima dug put da poboljša sigurnost Edgea.
Windows 10 više vas ne upotrebljava da biste koristili rub za otvaranje veza aplikacija za poštu
Microsoft više ne prisiljava korisnike Windows 10 da otvaraju veze iz aplikacije Mail u pregledniku Edge.
Microsoft će 2020. predstaviti novu priključnu stanicu za površinsku olovku
S obzirom na to da pripada gradnji 18922, malo je vjerojatno da bi se moguća luka za površinsku olovku pustila prije 2020. godine
Vpn blokiran u uae? instalirajte ove alate kako bi zaobišli ograničenja
Ako je vaš uobičajeni VPN blokiran u UAE, pročitajte ovaj vodič kako biste saznali koja su najbolja VPN rješenja koja možete koristiti u ovoj zemlji.
