Windows 10, Exchange y Teams de Microsoft han sido pirateados en Pwn2Own


Windows 10, Exchange y Teams de Microsoft han sido pirateados en Pwn2Own

Durante el primer día de Pwn2Own 2021, los concursantes ganaron $ 440,000 después de explotar con éxito vulnerabilidades previamente desconocidas para piratear el sistema operativo Windows 10 de Microsoft, el servidor de correo Exchange y la plataforma de comunicación Teams.

El primero en caer fue Microsoft Exchange en la categoría de Servidor, después de que el equipo de Devcore logró la ejecución remota de código en un servidor de Exchange al encadenar una omisión de autenticación y una escalada de privilegios locales. Esto les trajo $ 200,000 y 20 puntos Master of Pwn.

A continuación, un investigador de seguridad que utilizó el apodo de OV en línea logró con éxito la ejecución de código en Microsoft Teams en la categoría de Comunicaciones corporativas mediante la combinación de dos errores de seguridad separados. También ganó $ 200,000 y 20 puntos Master of Pwn.

El equipo de Viettel ganó $ 40,000 y 4 puntos Master of Pwn después de aumentar los privilegios de SYSTEM de un usuario regular en Windows 10 mientras competía en la categoría Local Escalation of Privilege.

El primer día, Jack Dates de RET2 Systems también ganó $ 100,000 después de lograr con éxito la ejecución de código a nivel de kernel en macOS usando un Apple Safari desbordamiento de enteros es Escritura fuera de los límites insectos.

Ryota Shiga de Flatt Security ganó $ 30,000 por un error de inicio de sesión OOB que le permite obtener root en una máquina de escritorio Ubuntu.

El equipo de STAR Labs no pudo hacer que sus exploits funcionaran en el tiempo asignado mientras intentaba aprovechar Oracle VirtualBox y Parallels Desktop en la categoría de virtualización.

En el segundo día, los competidores de Pwn2Own también apuntarán a Google Chrome, Microsoft Edge (Chromium), Zoom Messenger, mientras que otros intentarán explotar otros errores nuevos en Microsoft Exchange, Windows 10, Ubuntu Desktop y Parallels Desktop.

Después de que las vulnerabilidades se explotan y se revelan durante Pwn2Own, los proveedores de software y hardware tienen 90 días para desarrollar y lanzar correcciones de seguridad para todas las vulnerabilidades reportadas.

Durante Concurso Pwn2Own 2021, 23 equipos e investigadores se centrarán en diez productos diferentes en las categorías de navegadores web, virtualización, servidores, escalamiento local de privilegios y comunicaciones empresariales.

Entre el 6 y el 8 de abril, los competidores de Pwn2Own podrán ganar más de $ 1,500,000 en efectivo y premios, incluido un Tesla Model 3.

El equipo de fluoroacetato fue el primero en ganar un Tesla Model 3 Pwn2Own después de piratear el sistema de información y entretenimiento basado en cromo del automóvil hace dos años.

También ganaron $ 375,000 en Pwn2Own 2019 después de demostrar exploits para Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox y Microsoft Edge.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir