हैकर्स ने pwn2own 2017 के दौरान vmware वर्कस्टेशन को किनारे करने के लिए उपयोग किया

वीडियो: Dame la cosita aaaa 2024

इस साल Pwn2Own प्रतियोगिता हैकिंग ब्राउज़र और ऑपरेटिंग सिस्टम के तीन दिनों के बाद लिपटी हुई है। अंत में, माइक्रोसॉफ्ट का एज ब्राउजर घटना के दौरान हमलों को रोकने में विफल रहने के बाद हारे हुए के रूप में उभरा।

चीनी सुरक्षा फर्म Qihoo 360 की एक टीम ने एज का शोषण किया और एक VMware वर्कस्टेशन होस्ट से बचने के लिए दो सुरक्षा खामियों को एक साथ जोड़ा। टीम को कमजोरियों का पता लगाने के लिए पुरस्कार के रूप में $ 105, 000 मिले। जीरो डे इनिशिएटिव, जिसने प्रतियोगिता को प्रायोजित किया, एक ब्लॉग पोस्ट में कहा:

हमारे दिन की शुरुआत 360 सिक्योरिटी (@ mj0011sec) के लोगों ने माइक्रोसॉफ्ट एज के जरिए पूरी वर्चुअल मशीन से भागने की कोशिश से की थी। Pwn2Own प्रतियोगिता के लिए पहले में, वे Microsoft Edge में एक अतिप्रवाह, विंडोज कर्नेल में एक प्रकार का भ्रम, और एक वर्चुअलाइज्ड बफ़र VMware कार्य केंद्र में एक पूर्ण वर्चुअल वर्चुअल कंप्यूटर से बचने के लिए प्राप्त करके सफल हुए। इन तीन बगों ने उन्हें $ 105, 000 और 27 मास्टर ऑफ प्वॉइंट अंक अर्जित किए। वे बिल्कुल नहीं कहेंगे कि शोध में उन्हें कितना समय लगा, लेकिन कोड प्रदर्शन को केवल 90 सेकंड की आवश्यकता थी।

अगली बार रिचर्ड ज़ू (प्रतिदीप्ति) एक सिस्टम-स्तरीय वृद्धि के साथ Microsoft एज को लक्षित कर रहा था। यद्यपि उनका पहला प्रयास विफल रहा, उनके दूसरे प्रयास ने माइक्रोसॉफ्ट एज में दो अलग-अलग उपयोग-बाद-मुक्त (UAF) बग का लाभ उठाया और फिर Windows कर्नेल में एक बफर अतिप्रवाह का उपयोग करके सिस्टम में बढ़ा दिया गया। इसने उन्हें मास्टर ऑफ पवेन की ओर $ 55, 000 और 14 अंक दिए।

दूसरे वीएमवेयर वर्कस्टेशन भागने के लिए Tencent सिक्योरिटी को $ 100, 000 भी मिला। ZDI समझाया:

दिन और प्रतियोगिता दोनों के लिए अंतिम इवेंट में विन्सेन्ट सिक्योरिटी - टीम स्नाइपर (कीन लैब और पीसी एमआरजी) ने VMWare वर्कस्टेशन (गेस्ट-टू-होस्ट) को लक्षित किया था, और निश्चित रूप से यह घटना ख़त्म नहीं हुई। उन्होंने VMWare वर्कस्टेशन शोषण के साथ वर्चुअल मशीन एस्केप (गेस्ट-टू-होस्ट) श्रेणी जीतने के लिए तीन-बग श्रृंखला का उपयोग किया। इसमें एक Windows कर्नेल UAF, एक वर्कस्टेशन इन्फोलक, और गेस्ट-टू-होस्ट जाने के लिए वर्कस्टेशन में एक अनइंस्टाल्यूटेड बफर शामिल था। इस श्रेणी ने आगे भी कठिनाई का सामना किया क्योंकि VMware उपकरण अतिथि में स्थापित नहीं किए गए थे।

हालांकि Pwn2Own प्रतियोगिता में समान माप में हर ब्राउज़र पर हमला करने की एक उचित विधि का अभाव है, फिर भी स्पष्ट रूप से एज की सुरक्षा में सुधार करने के लिए अभी भी एक लंबा रास्ता तय करना है।

विंडोज 10 अब आपको मेल एप्लिकेशन लिंक खोलने के लिए किनारे का उपयोग करने के लिए मजबूर नहीं करता है

Microsoft अब Windows 10 उपयोगकर्ताओं को एज ब्राउज़र में मेल ऐप से लिंक खोलने के लिए मजबूर करता है।

हैकर्स 10 पीसी पर हमला करने के लिए नई पैकेजिंग में पुराने मैलवेयर का उपयोग करते हैं

ग्लास वॉल सॉल्यूशंस के सुरक्षा शोधकर्ताओं की एक टीम ने हाल ही में एक नया खतरा विश्लेषण रिपोर्ट जारी की है। रिपोर्ट में इस तथ्य पर प्रकाश डाला गया है कि Q1 2019 के दौरान ज्ञात स्रोतों से लगभग 85% सीवीई मैलवेयर आए हैं। विंडोज 10 का एक बुरा इतिहास है जहां तक कीड़े हैं। कुछ कमजोरियाँ प्रत्येक नए का एक अंतर्निहित हिस्सा हैं ...

माइक्रोसॉफ्ट ने एज्यूर क्लाउड प्लेटफॉर्म पर हमला करने के लिए व्हाइट हैट हैकर्स को आमंत्रित किया है

माइक्रोसॉफ्ट ने हाल ही में हैकर्स को अपने एज़्योर क्लाउड प्लेटफॉर्म को हैक करने के लिए प्रोत्साहित किया था। यह कदम माइक्रोसॉफ्ट के सेफ हार्बर ड्राइव का एक हिस्सा है।