Beyaz şapkalı bilgisayar korsanları, yakın zamanda düzenlenen bir bilgisayar korsanlığı yarışması sırasında tek bir günde Windows 11’i üç kez ele geçirmeyi başardı ve bu da yazılımın güvenliğiyle ilgili soruları gündeme getirdi.
2022 Pwn2Own Vancouver bilgisayar korsanlığı yarışmasının üçüncü ve son günü, üç ayrı katılımcının Microsoft’un en yeni işletim sistemini kırmak için sıfır gün güvenlik açıklarını kullandığını gördü.
İlk yarışmacı, Tamsayı Taşması aracılığıyla Windows 11 ayrıcalık yükseltme istismarını kötüye kullanan Viettel Cyber Security’den nghiadt12 idi. İkinci ve üçüncü olanlar, hedef uç noktasında ayrıcalıkları yükseltmek için Ücretsiz Sonrası Kullan ve Uygunsuz Erişim Kontrolü güvenlik açıklarını kullanan Reverse Tactics’ten Bruno Pujos ve vnhthp1712 idi.
araba kesmek
Üç başarılı girişimin yanı sıra, Team DoubleDragon tarafından, son tarih içinde istismarın demosunu yapamayan başarısız bir girişim de vardı.
Ubuntu Desktop da bir kez başarıyla hacklendi, STAR Labs’ Billy Jheng Bing-Jhong tarafından eklendi. Bu saldırıda Use-After-Free açıklarından da yararlanıldı.
Pwn2Own 2022’nin tamamı boyunca, toplam 17 rakip Windows 11’in yanı sıra Ubuntu Desktop, Apple Safari, Oracle Virtualbox ve Mozilla Firefox’u da birden çok kez hackledi.
2019’dan bu yana yarışmaya yepyeni bir kategori eklendi – otomotiv bilgi-eğlence sistemleri. Bu yıl Tesla 3 otomobilinde böyle bir sistem hacklendi. Medyaya göre, Sznactiv adlı bir grup, bilgi-eğlence sisteminde, saldırganın yerleşik bilgi işlem cihazı üzerinde kontrolü ele geçirmesine izin veren bir sanal alan kaçışını gösterdi.
Gruba hata için 75.000 dolar verildi, ancak bunun aynı zamanda çok daha yıkıcı olabilecek ve hatta tam cihaz ele geçirmesine izin verebilecek kötü amaçlı yazılımlarla ikinci aşama saldırıları başlatmak için kullanılabileceğini söyledi. Bir Tesla Model 3’ü tamamen hacklemek, katılımcıya 600.000 dolar ve arabanın kendisini kazandırıyor. Kurritu.org bildirildi.
Başarılı hackler için bir milyon dolardan fazla ödül ödendi ve satıcıların sorunları çözmek için artık 90 günleri var. Son teslim tarihini karşılayamazlarsa, Trend Micro’nun Sıfır Gün Girişimi kusurları kamuya açıklayacaktır.
Aracılığıyla: BleeBilgisayar
