Pwn2Own: Hackers αποδεικνύουν ότι η ασφάλεια στα Windows είναι μύθος

Η πρώτη μέρα του 2015, του hacking διαγωνισμού που πραγματοποιείται στο Βανκούβερ του Καναδά πρόσφερε μεγάλα έπαθλα στους διαγωνιζόμενους και πονοκεφάλους στους κατασκευαστές λογισμικού: οι διαγωνιζόμενες ομάδες κατάφεραν να αξιοποιήσουν επιτυχώς φρέσκες ​​ευπάθειες στο Adobe Flash και Reader, τα Windows της , τον Internet Explorer και τον Firefox της Mozilla.Pwn2Own

Ο διαγωνισμός Pwn2Own, που διοργανώνεται για οκτώ συνεχόμενα χρόνια από το Zero Day Initiative (ZDI) της HP και το Project Zero της Google, προσελκύει ερευνητές ς από όλο τον κόσμο. Οι συμμετέχοντες πρέπει να εξηγήσουν πώς κατάφεραν τις επιθέσεις τους, και φυσικά αν αξίζουν υπάρχουν πολλά εκατομμύρια δολάρια για την επιβράβευση τους.

Την Τετάρτη, ο ερευνητής ασφαλείας Nicolas Joly ήρθε παρουσίασε και έφυγε κατά 90.000 δολάρια πλουσιότερος. Ο ερευνητής κατάφερε να συνδυάσει ένα use-after-free (UAF) remote-code execution με μια sandbox escape directory traversal στο Adobe Flash για να εκτελέσει αυθαίρετο κώδικα στον υπολογιστή, κερδίζοντας 30.000 δολάρια. Το υπόλοιπο ποσό δηλαδή τα 60 χιλιάδες δολάρια κατάφερε να κερδίσει προσβάλλοντας και τον Adobe Reader, καταφέρνοντας να εκτελέσει αυθαίρετο κώδικα από απόσταση.

“Είναι το είδος των επιθέσεων που έρχεστε στο Βανκούβερ για διακοπές και φεύγετε με μετρητά,” δήλωσε ο Joly, αποκαλύπτοντας ότι είχε γράψει το τελευταίο μέρος του exploit για τον Reader στο αεροπλάνο, στον δρόμο του για το συνέδριο.

Οι ομάδες hacking Tencent PCMgr και KeenTeam μοιράστηκαν 140.000 δολάρια επίσης στο διαγωνισμό της Τετάρτης – κερδίζοντας 30.000 δολάρια την ανάληψη ελέγχου του Reader με integer overflow, και 25.000 δολάρια για ένα exploit σε επίπεδο συστήματος για την κώδικα στα Windows μέσω ενός bug στο χειρισμό του TrueType font από το .

Οι ίδιοι κατάφεραν ακόμα να κερδίσουν άλλα 60 χιλιάδες δολάρια χρησιμοποιώντας ένα heap overflow bug στο Flash για απομακρυσμένη εκτέλεση κώδικα. Στη συνέχεια, κατάφεραν να αυξήσουν τα προνόμιά τους σε επίπεδο συστήματος μέσω ενός άλλου ελαττώματός της γραμματοσειράς TrueType στον πυρήνα και κέρδισαν άλλα 25.000 δολάρια.

Όμως ο star της ημέρας ήταν ερευνητής Mariusz Mlynski, ο οποίος σε 0,512 δευτερόλεπτα κατάφερε να εκμεταλλευτεί μια ευπάθεια cross-origin του Firefox για να επιτεθεί σε ένα logical flaw των Windows. Αυτό του επέτρεψε την κλιμάκωση των προνομίων και την απομακρυσμένη εκτέλεση κώδικα, κερδίζοντας 55.000 δολάρια.

Εν τω μεταξύ, η νέα ομάδα 360Vulcan έσπασε τον Internet Explorer 11 χρησιμοποιώντας μια ευπάθεια μνήμης (uninitialized ) κάτι που τους επέτρεψε εκτέλεση κώδικα για ένα βραβείο 32.500 δολαρίων.

Ο διαγωνισμός Pwn2Own συνεχίζεται και σήμερα, και οι διαγωνιζόμενοι έχουν στοχοποιήσει τον Safari της Apple, τον Google Chrome και τον Internet Explorer. Οι ιθύνοντες του ευάλωτου λογισμικού αναμένεται να ανακοινώσουν όλες τις λεπτομέρειες όταν τα προϊόντα τους επιδιορθωθούν.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).