$ 100万美元的支付障碍因攻击而损坏,也针对Microsoft Exchange,Windows 10
旗舰PWN2OWN现场黑客赛事在总支出超过100万美元之后,在两个方面打破了新的地面,比赛的首个独奏女子参赛者取得了胜利。
大约23个参加团队和孤独的安全研究人员在为期三天的活动中,从总奖金库中获得了创纪录的$ 1,210,000,该活动由Trend Micro的零日计划(ZDI)组织。
昨天,比赛结束了,为PWN Crown的令人垂涎的大师进行了三分球,与荷兰Infosec公司的Devcore,安全研究员“ OV”以及Daan Keuper和Thijs Alkemade结束了。排行榜有20位PWN点的主人。
PWN2OWN的第14届年度版也有一个新类别,企业通信连接了Web浏览器,虚拟化,服务器以及特权类别的本地升级,分别在10个目标之间。beplay体育能用吗
首次女性胜利
The competition’s first-ever solo female contestant, Alisa Esage Shevchenko, leveraged ASCII art in a guest-to-host escape on Parallels Desktop, which netted her two Master of Pwn points for, owing to pre-competition disclosure, a ‘partial’ victory.
随后到Twitter,研究人员宣布自己“超级炒作”在“零日托管理程序VM VM Escape exploit on Mac上,我认为是世界上第一个的MAC之一”之后,就实现了“个人个人目标”。
交换收购
该活动连续第二次虚拟版(通常是在加拿大温哥华举行的面对面事件)以八项成功的参赛作品开始。
最值得注意的是,最终的PWN“ OV”和DevCore的大师都获得了200,000美元的奖金 - 前者是两只小菜连锁店微软导致代码执行的团队,后者进行身份验证旁路和本地特权升级,以抓住对Microsoft Exchange Server的控制。
总体优胜者Daan Keuper和Thijs Alkemade在部署了三袋链条后于第二天获得了相同的数量,以实现Zoom Messenger上的零单击代码执行。
第二天成功的11个成功条目之一是,Bruno Keith和DataFlow Security的Niklas Baumstark利用了一种不匹配错误,以利用Google Chrome和基于Chromium的Microsoft Edge中的渲染器,并获得了100,000美元的奖金。
The third and final day saw Benjamin McBride of L3Harris Trenchant, ‘Da Lao’, and Marcin Wiazowski earn $40,000 and four Master of Pwn points apiece for, respectively, a memory corruption bug leading to code execution on Parallels Desktop’ host OS, an OOB Write to achieve a guest-to-host escape in Parallels, and a use-after-free bug to escalate to SYSTEM on Windows 10.
“很难选择”
当被问及他最喜欢的漏洞利用时,脆弱性研究高级总监兼ZDI趋势Micro的负责人告诉每日swbeplay2018官网ig:“很难在Microsoft Exchange利用和0天的缩放演示之间进行选择。两者都显示出惊人的研究和影响目标数百万用户。”
该活动是现场直播的YouTube,Twitch和会议网站,而ZDI博客则具有一击帐户关于利用尝试如何展开。
参与的供应商现在有90天的时间在公开披露之前为报告的漏洞提供修复程序。
PWN2敦2020年的PWN2敦2020年,去年与Covid-19的大流行匆匆迁移到虚拟格式,在其早期阶段被返回冠军赢得了冠军Richard Zhu和Amat Cama fluoroacetate的Amat Cama通过一对无用的错误来控制Adobe Reader和Windows内核。
Amid the global vaccine rollout, Gorenc said it was unclear when a return to an in-person contest might be possible, “but our goal is to take the best of what we’re doing in the virtual format (remote participation, live streaming, real-time interviews, etc.) and combine it with a physical contest for a hybrid event”.
