Phát hiện 3 lỗ hổng trên Windows 11 vào ngày cuối cuộc thi Pwn2Own

tathoa0607

Moderator
Thành viên BQT
14/01/2021
19
85 bài viết
Phát hiện 3 lỗ hổng trên Windows 11 vào ngày cuối cuộc thi Pwn2Own
Vào ngày cuối cùng của cuộc thi hack Pwn2Own Vancouver 2022, các nhà nghiên cứu đã khai thác thành công các lỗ hổng 0-day tồn tại trên hệ điều hành Windows 11 của Microsoft. Với Windows 11 và Ubuntu Desktop là mục tiêu được nhắm tới trong cuộc thi lần này, mỗi thí sinh nhận được khoảng 160.000 đô la với mỗi lỗ hổng mà họ phát hiện và khai thác thành công.

pasted image 0.png
  • Người đầu tiên chứng minh 0-day trong việc nâng cao đặc quyền của Windows 11 (thông qua Integer Overflow) của Pwn2Own là nghiadt12 từ Viettel Cyber Security.
  • Bruno Pujos từ REverse Tactics và vinhthp1712 cũng đã khai thác thành công các lỗ hổng liên quan tới đặc quyền trên Windows 11 tương ứng với các lỗ hổng Use-After-Free và Access Control Access Control.
  • Cuối cùng là Billy Jheng Bing-Jhong của STAR Labs đã tấn công một hệ thống chạy Ubuntu Desktop bằng cách khai thác Use- After- Free.
Pwn2Own 2022 Vancouver đã kết thúc với 17 nhà nghiên cứu và thu về tổng cộng 1.155.000 đô la trong việc khai thác zero-day và khai thác chuỗi (Kết hợp từ nhiều lỗ hổng). Quá trình demo lại các lỗ hổng này mất khoảng 21 lần thử và kéo dài trong 3 ngày liên tục

pasted image 0 (1).png

Ngày đầu tiên, các thí sinh đã giành được 800.000 đô la sau khi khai thác thành công 16 lỗi zero-day để hack nhiều sản phẩm, bao gồm hệ điều hành Windows 11 của Microsoft và Teams, Ubuntu Desktop, Apple Safari, Oracle Virtualbox và Mozilla Firefox. Ngày thứ hai, các thí sinh đã kiếm được 195.000 đô la sau khi demo các lỗi trong Hệ thống thông tin giải trí Telsa Model 3, Ubuntu Desktop và Microsoft Windows 11. Các nhà nghiên cứu đã demo 6 lần khai thác Windows 11, hack Ubuntu Desktop 4 lần và demo 3 lỗ hổng 0-days trong Microsoft Teams. Ngoài ra, họ cũng báo cáo một số lỗi trong Apple Safari, Oracle Virtualbox và Mozilla Firefox...

Sau khi các lỗ hổng được khai thác và báo cáo trong Pwn2Own, các nhà cung cấp có 90 ngày để phát hành các bản vá cho đến khi các lỗ hổng này được công khai.

Vào tháng 4, các thí sinh cũng giành được 400.000 đô la cho 26 lần khai thác 0-day các sản phẩm ICS và SCADA được demo trong cuộc thi Pwn2Own Miami năm 2022 diễn ra từ ngày 19/4 đến ngày 21/4.

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
pwn2own ubuntu desktop windows 11
Bên trên