Bilgisayar korsanları, Pwn2Own 2017 sırasında VMware Workstation'ı atlamak için Edge'i kullandı

Bu yılki Pwn2Own yarışması, tarayıcıları ve işletim sistemlerini hacklemekle geçen üç günün ardından sona erdi. Sonunda, Microsoft'un Kenar tarayıcı etkinlik sırasında saldırıları savuşturmada başarısız olduktan sonra kaybeden olarak ortaya çıktı.

Çinli güvenlik firması Qihoo 360'tan bir ekip, Edge'den yararlandı ve bir VMware Workstation sunucusundan kaçmak için iki güvenlik açığını birbirine bağladı. Ekip, güvenlik açıklarını keşfettiği için ödül olarak 105.000 dolar aldı. Yarışmaya sponsor olan Zero Day Initiative bir blog yazısında şunları söyledi:

Günümüze 360 ​​Security (@mj0011sec) ekibinin Microsoft Edge üzerinden tam bir sanal makine kaçışıyla başladık. Pwn2Own yarışmasında bir ilk olarak, Microsoft Edge'de yığın taşmasından yararlanarak kesinlikle başarılı oldular. tam bir sanal makine için Windows çekirdeğinde karışıklık ve VMware Workstation'da başlatılmamış bir arabellek yazın kaçış. Bu üç hata onlara 105.000$ ve 27 Master of Pwn puanı kazandırdı. Araştırmanın tam olarak ne kadar sürdüğünü söylemeyecekler, ancak kod gösterimi sadece 90 saniyeye ihtiyaç duyuyordu.

Sırada, SİSTEM düzeyinde bir yükseltme ile Microsoft Edge'i hedefleyen Richard Zhu (floresan) vardı. İlk denemesi başarısız olmasına rağmen, ikinci denemesi Microsoft Edge'de iki ayrı ücretsiz kullanım sonrası (UAF) hatasını kullandı ve ardından Windows çekirdeğinde bir arabellek taşması kullanarak SYSTEM'e yükseldi. Bu ona 55.000 $ ve Master of Pwn'a 14 puan kazandırdı.

Tencent Security ayrıca ikinci VMware Workstation kaçışı için 100.000 dolar aldı. ZDI açıkladı:

Hem günün hem de yarışmanın son etkinliğinde Tencent Security – Team Sniper (Keen Lab ve PC) vardı. Mgr) VMWare Workstation (Guest-to-Host) hedefleniyor ve etkinlik kesinlikle bir sızlanma. VMWare Workstation istismarıyla Sanal Makine Kaçışları (Konuktan Ana Bilgisayara) kategorisini kazanmak için üç hata zinciri kullandılar. Bu, konuktan ana bilgisayara gitmek için bir Windows çekirdeği UAF'si, bir İş İstasyonu bilgi sızıntısı ve İş İstasyonunda başlatılmamış bir arabellek içeriyordu. Bu kategori, misafire VMware Tools kurulmadığı için zorluğu daha da artırdı.

Pwn2Own yarışması, her tarayıcıya eşit ölçüde saldırmak için adil bir yöntemden yoksun olsa da, Microsoft'un Edge'in güvenliğini artırmak için hala kat etmesi gereken çok yol var.

KONTROL ETMENİZ GEREKEN İLGİLİ HİKAYELER:

  • Microsoft Edge'in güvenlik uyarıları, teknik destek dolandırıcılığının kötüye kullanılmasına karşı savunmasız
  • Firefox ve Chrome, Microsoft Edge güvenlik standartlarıyla eşleşemez
  • Microsoft, Edge'in şimdiye kadar sıfır gün istismarı olmayan en güvenli tarayıcısı olduğunu iddia ediyor
Microsoft, IE modunu Edge'den kaldırıyor, bunun yalnızca kurumsal bir özellik olduğunu söylüyor

Microsoft, IE modunu Edge'den kaldırıyor, bunun yalnızca kurumsal bir özellik olduğunu söylüyorMicrosoft Kenar KılavuzlarıWindows 10

Microsoft duyurdu Edge için Internet Explorer modu Mayıs 2019'da geri döndü. Internet Explorer'da bir web sayfasını açmak için kullanabileceğiniz özel bir Microsoft Edge sekmesi vardır.Bu özelliği ...

Devamını oku
Bilgisayar korsanları, Pwn2Own 2017 sırasında VMware Workstation'ı atlamak için Edge'i kullandı

Bilgisayar korsanları, Pwn2Own 2017 sırasında VMware Workstation'ı atlamak için Edge'i kullandıMicrosoft Kenar KılavuzlarıPwn2own 2017V Mware İş İstasyonu

Bu yılki Pwn2Own yarışması, tarayıcıları ve işletim sistemlerini hacklemekle geçen üç günün ardından sona erdi. Sonunda, Microsoft'un Kenar tarayıcı etkinlik sırasında saldırıları savuşturmada başa...

Devamını oku
Pinterest ve Koleksiyonlar entegrasyonu Edge'e geliyor

Pinterest ve Koleksiyonlar entegrasyonu Edge'e geliyorMicrosoft Derleme 2020Microsoft Kenar KılavuzlarıTarayıcılar

Edge'e gelen yeni özellikler, Microsoft Build 2020'de ilk günün öne çıkanları arasında yer alıyor.Otomatik profil değiştirme, Pinterest-Koleksiyonları entegrasyonu ve kenar çubuğu arama özelliklerd...

Devamını oku