Pwn2Own 2017: i ricercatori sono riusciti a fuggire completamente dalla macchina virtuale tramite Microsoft Edge
2 minuto. leggere
Aggiornato su
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
La Zero Day Initiative (ZDI), fondata da TippingPoint, è un programma per premiare i ricercatori sulla sicurezza per la divulgazione responsabile delle vulnerabilità. L'ultima competizione Pwn2Own si è tenuta la scorsa settimana e il browser Microsoft Edge è stato violato con successo più volte dai concorrenti.
Il primo giorno della competizione, Tencent Security - Team Ether ha preso di mira Microsoft Edge e ci sono riusciti utilizzando una scrittura arbitraria in Chakra e sono sfuggiti alla sandbox utilizzando un bug logico all'interno della sandbox. Questo ha fruttato loro un fantastico $ 1.
Il giorno 2, Tencent Security - Team Lance ha anche sfruttato con successo Microsoft Edge utilizzando un UAF in Chakra, quindi ha elevato i propri privilegi a SYSTEM utilizzando un UAF nel kernel di Windows. Questo ha guadagnato loro $ 55,000.
Tencent Security: il Team Sniper (Keen Lab e PC Mgr) ha completato l'exploit di Microsoft Edge con un UAF in Chakra ed è passato a privilegi a livello di SISTEMA tramite un UAF nel kernel di Windows. Questo ha vinto loro $ 55,000.
Un team di 360 Security ha sfruttato con successo Microsoft Windows con un bug fuori limite (OOB) nel kernel di Windows. Questo li ha fruttati $ 15,000.
Infine, Tencent Security – Team Sniper (Keen Lab e PC Mgr) ha elevato i privilegi in Microsoft Windows attraverso un overflow di numeri interi nel kernel. Questo ha guadagnato loro $ 15,000.
Il giorno 3, un team di 360 Security ha tentato una fuga completa dalla macchina virtuale tramite Microsoft Edge e ci è riuscito per primo per la competizione Pwn2Own. Hanno sfruttato un overflow dell'heap in Microsoft Edge, una confusione di tipo nel kernel di Windows e un buffer non inizializzato in VMware Workstation per una fuga completa dalla macchina virtuale. Questi tre bug gli hanno fatto guadagnare $ 105,000. La loro dimostrazione del codice ha richiesto solo 90 secondi!
Infine, Richard Zhu (fluorescenza) ha preso di mira Microsoft Edge con un'escalation a livello di SISTEMA. Ha sfruttato due bug UAF (use-after-free) separati in Microsoft Edge e quindi è passato a SYSTEM utilizzando un buffer overflow nel kernel di Windows. Questo gli è valso $ 55,000.
È importante mantenere aggiornato il tuo dispositivo Windows 10 con gli ultimi aggiornamenti di Microsoft per proteggere il tuo dispositivo da vulnerabilità come quelle sopra.
