Bug Hunters再次聚集在PWN2WACHCACKING比赛中再次收集了他们对一些最受欢迎和成熟的软件程序的技能。在第一天,他们成功地展示了对微软Edge,Apple的Safari,Adobe Reader和Ubuntu桌面的利用。
在加拿大温哥华的CANSECWEST安全会议期间,PWN2WOWS比赛每年运行。它由零日倡议(ZDI)组织和赞助,这是一个由趋势科技在收购TippingPoint后经营的利用收购计划。
今年比赛有100万美元的奖金,有五大类:虚拟机(VMware工作站和Microsoft Hyper-V); Web浏览器和插件(Microsoft Edge,Google Chrome,Mozilla Firefox,Apple Safari和Flash Player在边缘运行);当地升级权限(Windows,MacOS和Ubuntu Desktop);企业应用程序(Adobe Reader,Word,Excel和PowerPoint)和服务器端(Ubuntu Server上的Apache Web服务器)。
在比赛的第一天,两支球队设法取下Adobe Reader并将其他Windows内核缺陷组合到他们的攻击中,以实现系统级特权升级。中国安全公司的团队360安全为他们的开发链赢得了50,000美元,而中国互联网公司腾讯的团队赢得了25,000美元。
Apple“S Safari也被利用了两次,首先由研究人员SamuelGroß和Niklas Baumstark和后来的一支团队由中国的Chaitin技术安全研究实验室组成。
两者攻击都会组合不同的漏洞,导致Apple上的root是任意代码执行。Groß和鲍姆斯坦克攻击链仅被认为是部分成功,并以28,000美元的奖励得到奖励,而楚廷人的利用率为35,000美元。
腾讯安全团队还攻击了Microsoft Edge并使用了第二个错误来转义浏览器的沙箱。边缘以及Chrome,由于其沙箱机制而被认为是最难破解的浏览器。
腾讯获得80,000美元的边缘漏洞利用,后来试图破解铬,但未能在规定的时间内完成其利用链。
Chaitin Security Research Lab团队还成功展示了Ubuntu桌面上的内核特权升级,赢得了15,000美元。
还有一些其他失败和提款。一名名叫理查德朱的研究员在麦斯斯上有针对性的徒步旅行队,但未能在时间内完成攻击。研究员Ralf-Philipp Weinmann从他试图破解微软Edge的尝试中退出,腾讯团队从他们的计划中退出了展示了在Windows上的特权升级。
没有人攻击虚拟机管理程序或Apache Web服务器,但比赛还有一天的比赛。成功的虚拟机逃生价值100,000美元,通过Apache Exproit妥协将以200,000美元的奖励奖励。
研究人员需要与随后与受影响的软件供应商分享的组织者分享他们的利用,以便他们可以修补它们。趋势科技还使用该信息来创建其推进点入侵防御系统的检测签名。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。