Vào ngày cuối cùng của cuộc thi hack Pwn2Own Vancouver 2022, các nhà nghiên cứu bảo mật đã tấn công thành công hệ điều hành Windows 11 của Microsoft thêm ba lần nữa.
Thử nghiệm đầu tiên trong ngày nhắm mục tiêu vào Microsoft Teams đã thất bại sau khi Nhóm DoubleDragon không thể thực hiện khai thác trong thời gian quy định.
Các thí sinh khác đã giành được 160.000 đô la sau khi khai thác các zero-day trong Windows 11 ba lần và Ubuntu Desktop một lần.
Người đầu tiên thành công với thử nghiệm leo thang đặc quyền trên Windows 11 thông qua lỗ hổng Integer Overflow là nghiadt12 từ Viettel Cyber Security.
Bruno Pujos từ REverse Tactics và vinhthp1712 cũng hoàn thành khai thác leo thang đặc quyền trên Windows 11 bằng cách sử dụng lỗ hổng Use-After-Free và Access Control.
Cuối cùng, Billy Jheng Bing-Jhong của STAR Labs đã tấn công một hệ thống Ubuntu Desktop bằng cách khai thác lỗ hổng Use-After-Free.
Kết thúc cuộc thi, 17 người chơi đã giành được tổng cộng 1.155.000 đô cho các chuỗi khai thác và khai thác zero-day trong ba ngày, từ ngày 18 tháng 5 đến ngày 20 tháng 5.
Vào ngày đầu tiên của Pwn2Own, các nhà nghiên cứu đã giành được 800.000 đô sau khi khai thác thành công 16 lỗ hổng zero-day trong nhiều sản phẩm, bao gồm hệ điều hành Windows 11 và ứng dụng Teams của Microsoft, Ubuntu Desktop, Apple Safari, Oracle Virtualbox và Mozilla Firefox.
Vào ngày thứ hai, các thí sinh đã giành được 195.000 đô sau khi khai thác các lỗ hổng trong Hệ thống Telsa Model 3 Infotainment, Ubuntu Desktop và Windows 11.
Trong cuộc thi, các nhà nghiên cứu đã chứng minh sáu khai thác trong Windows 11, tấn công bốn lần vào Ubuntu Desktop và thử nghiệm thành công ba zero-day trong Microsoft Teams. Họ cũng báo cáo một số lỗ hổng trong Apple Safari, Oracle Virtualbox và Mozilla Firefox.
Sau khi các lỗ hổng được chứng minh và báo cáo trong Pwn2Own, các nhà cung cấp có 90 ngày để phát hành các bản vá bảo mật cho đến khi Zero Day Initiative của Trend Micro tiết lộ công khai chúng.
Vào tháng 4, các nhà nghiên cứu bảo mật cũng đã giành được 400.000 đô cho 26 thử nghiệm khai thác zero-day trong các sản phẩm ICS và SCADA trong cuộc thi Pwn2Own Miami năm 2022 diễn ra từ ngày 19 tháng 4 đến ngày 21 tháng 4.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Tấn công relay attack mới nhắm vào triển khai Bluetooth Low Energy có thể cho phép tội phạm mạng mở khóa và điều khiển ô tô từ xa cũng như phá các khóa thông minh.
Tín nhiệm mạng | Trong ngày đầu tiên của Pwn2Own Vancouver 2022, các thí sinh đã giành được 800.000 đô sau khi khai thác thành công 16 lỗ hổng zero-day trong nhiều sản phẩm, bao gồm Windows 11 và ứng dụng Team của Microsoft
Tín nhiệm mạng | Microsoft phát hiện một chiến dịch độc hại nhắm mục tiêu vào máy chủ SQL sử dụng một tệp nhị phân PowerShell để duy trì truy cập trên các hệ thống bị xâm phạm.
Tín nhiệm mạng | Biến thể mới của botnet srv đang khai thác các lỗ hổng bảo mật trong các ứng dụng web và cơ sở dữ liệu để cài đặt các công cụ khai thác tiền điện tử trên cả hệ thống Windows và Linux.
Tín nhiệm mạng | Phát hiện hơn 200 ứng dụng Android giả mạo các ứng dụng fitness, chỉnh sửa ảnh và giải đố nhằm phát tán phần mềm gián điệp Facestealer để lấy thông tin đăng nhập và các thông tin khác của người dùng.
Tín nhiệm mạng | Một phân tích bảo mật đầu tiên về chức năng Find My của iOS đã phát hiện phương pháp tấn công mới cho phép giả mạo firmware và tải phần mềm độc hại, có thể thực thi ngay cả khi iPhone đang tắt.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
