Windows 11, Microsoft Teams взломаны и эксплуатируются

Участники, которые успешно использовали 16 ошибок нулевого дня в 16 различных продуктах в первый день Pwn2Own Vancouver 2022, выиграли более 800 000 долларов призовых.

В продуктовую линейку входят: –

  • Microsoft Windows 11 (ОС)
  • Microsoft Teams (коммуникационная платформа)

День первый: Microsoft Teams и Windows 11 взломаны

В категории корпоративных коммуникаций Microsoft Teams стала первой жертвой ошибки неправильной конфигурации, которую использовал Гектор Перальта.

Члены команды Star Labs Билли Дженг Бинг-Джонг, Мухаммад Алифа Рамдхан и Нгуен Хоанг Тхок продемонстрировали цепочку эксплойтов с нулевым кликом, которая содержит 2 ошибки, и здесь они упомянуты ниже: –

  • Инъекция
  • Произвольная запись в файл

Масато Кинугава уже в третий раз скомпрометировал Microsoft Teams, и на этот раз он использовал три ошибки внедрения, неправильной настройки и выхода из песочницы, чтобы взломать систему.

За успешную демонстрацию своих уязвимостей нулевого дня Microsoft Teams трое хакеров получили долю в размере 150 000 долларов и 15 баллов Master of Pwn.

Кроме того, STAR Labs смогла заработать дополнительно 40 000 долларов. Это было получено за счет использования уязвимости Use-After-Free для повышения привилегий в операционной системе Windows 11.

Получив доступ к системе повышения привилегий Oracle Virtualbox, организация снова добавила дополнительное вознаграждение в размере 40 000 долларов.

Чтобы взломать веб-браузер Mozilla Firefox, Манфред Пол (@_manfp) успешно продемонстрировал использование двух ошибок, и вот они: –

  • Загрязнение прототипа
  • Неправильная проверка ввода

Используя две указанные выше ошибки в веб-браузере Mozilla Firefox, он заработал 100 000 долларов и 10 баллов Master of Pwn.

Помимо браузера Mozilla Firefox, Манфред Пол также успешно продемонстрировал использование ошибки в Apple Safari и, взломав веб-браузер Apple Safari, получил еженедельное вознаграждение в размере 150 000 долларов США.

See also  Болсонару возмущен тем, что WhatsApp не запустит новый инструмент в Бразилии до выборов

Ниже мы упомянули ошибку, которая используется в Apple Safari:

Во время тестового запуска Microsoft Windows 11 на рабочей станции Марцин Визовски воспользовался уязвимостью повышения привилегий записи за пределы допустимого диапазона.

Это принесло ему кругленькую сумму в 40 000 долларов и 4 балла Master of Pwns за его усилия, а также высокую оценку от команды Microsoft за написание сопроводительного технического описания.

Команда Sea Security из Orca использовала две ошибки на рабочем столе Ubuntu. Ниже мы упомянули те две ошибки, которые были использованы и принесли команде 40 000 долларов США вместе с 4 очками Master of Pwn:

  • Запись вне границ (OOBW)
  • Использование после освобождения (UAF)

Первый день конкурса завершен, а это значит, что скоро будут следующие обновления, и мы будем держать вас в курсе всех предстоящих событий конкурса.

Вы можете подписаться на нас в Linkedin, Твиттер, Фейсбук для ежедневных обновлений кибербезопасности и хакерских новостей.

Leave a comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.