Microsoft Teams, Exchange Server und mehr

Pwn2Own 2021 begann seinen dreitägigen Lauf am 6. April 2021 um 10.00 Uhr EST, wobei die Veranstaltung gestreamt wird Youtube, Zucken, und sein Konferenz-Website. In diesem Jahr sind insgesamt 23 Versuche an 3 Tagen geplant und zielen auf 10 Produkte ab. Die Ergebnisse des ersten Tages endeten mit erfolgreichen Hacking-Versuchen gegen Microsoft Exchange, Microsoft Teams, Windows 10 und Apples Safari Browser.

Pwn2OwnBild mit freundlicher Genehmigung: Youtube

Für diejenigen, die sich immer noch fragen, hier eine kurze Anmerkung zu Pwn2Own, einem ethischen Computer-Hacking-Wettbewerb, der jährlich auf der CanSecWest-Sicherheitskonferenz stattfindet. Das Hauptziel dieser Herausforderung besteht darin, die Sicherheitslücken in der am häufigsten verwendeten Software aufzuzeigen. Die Teams, die diese Mängel erfolgreich aufzeigen, werden mit Geldpreisen belohnt.

Pwn2Own 2021 Tag 1 Ergebnisse

In diesem Jahr hat Pwn2Own einen der größten Wettbewerbe im Vergleich zu den Vorjahren organisiert. Das erste erfolgreiche Ergebnis wurde von Jack Dates von RET2 Systems erzielt, der 100.000 US-Dollar in der Kategorie Webbrowser gewann, indem er einen Integer-Überlauf in Apples Safari nutzte. Es folgte das Devcore-Team, das 200.000 US-Dollar für die Übernahme des Microsoft Exchange Servers erhielt.

ErgebnisseBild: YouTube

In Zukunft war Microsoft Teams das nächste, das von einem Forscher kompromittiert wurde, der ein paar Fehler kombinierte, um die Codeausführung zu demonstrieren. Diese Anstrengung wurde mit 200.000 US-Dollar belohnt und die nächste Veranstaltung würde die meisten von uns überraschen. Team Viettel hat sich als normaler Benutzer an einem Windows 10-PC angemeldet und alle Systemprivilegien mithilfe eines Integer-Überlaufs erreicht. Dies half dem Team, am ersten Tag 40.000 US-Dollar zu gewinnen, während sich das Team auf seinen morgendlichen Angriff auf Microsoft Exchange vorbereitet.

Microsoft ExchangeBild mit freundlicher Genehmigung: YouTube

Mit der Kompromittierung von Windows 10 konnte auch Ubuntu Desktop kein Glück finden, da Ryota Shiga von Flatt Security Inc von einem Standardbenutzer zu einem Root-Benutzer wurde. Dieses Kunststück wurde durch die Verwendung eines OOB-Zugriffsfehlers erreicht und erhielt 30.000 US-Dollar als Belohnung.

Flatt Security IncBild mit freundlicher Genehmigung: YouTube

Allerdings waren heute nicht alle Teams erfolgreich, so wie das Star Labs-Team, das in zwei separaten Events auf Parallels Desktop und Oracle VirtualBox abzielte, bei keinem der Versuche erfolgreich war.

Klicken Sie hier für den detaillierten Zeitplan von Pwn2Own 2021

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *