Голосовать
20 ноября 2016 года в 17:20 |
1411 просмотров |
2 комментария
В Сеуле прошел PwnFest
В столице Южной Кореи прошел конкурс, известный под названием PwnFest. Однозначным лидером в этой технологической гонке стала команда китайских хакеров Qihoo 360. Китайские эксперты всего за 60 секунд удаленно внедрили в смартфон вредоносный код и получили абсолютный контроль над приложениями Play Store и Chrome.
Команда китайских исследователей по безопасности из известной компании Qihoo 360 Technology не только сумела успешно скомпрометировать Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel, а также выиграть титул "Lord of Pwn". В общей сложности команда заработала 530 тысяч долларов США.
Все предназначенные для компрометации приложения, а также ОС являются полностью обновленными до актуального состояния (up-to-date). Расценки в случае доступных кейсов атак приведены ниже. Видно, что самая высокая цена предлагается за взлом систем виртуализации VMware Workstation, а также MS Hyper-V. Под extra-вознаграждением подразумевается не только успешное исполнение кода, но также обход ограничений sandbox, т. е. получение максимальных прав root/SYSTEM.
Под взломом системы виртуализации понимается успешный обход ограничений гипервизора, которые он накладывает на исполняемый в виртуальной машине код. Т. е. security-исследователям предоставляется возможность продемонстрировать работу эксплойта, который использует одну или несколько уязвимостей в системе безопасности виртуальной машины для исполнения кода на реальной машине (хосте) из процесса на гостевой системе. Демонстрируемый эксплойт должен успешно работать на самом актуальном ПО и ОС.
Другие результаты:
- Известная команда security-ресерчеров iOS Pangu Team успешно скомпрометировала веб-браузер Safari на OS X Sierra, заработав 80 тысяч долларов США.
- Известный хакер из Южной Кореи с ником Lokihardt, успешно скомпрометировал веб-браузер Edge на новейшей Windows 10 x64 RS1, а также сумел повысить свои привилегии в системе до уровня SYSTEM, заработав при этом 140 тысяч долларов США.
- Исследователи Qihoo 360 успешно исполнили код на Flash Player, повысив свои привилегии в системе до уровня SYSTEM с использованием LPE-уязвимости в win32k.sys, заработав 120 тысяч долларов США.
После демонстрации работы эксплойтов, информация об использовавшихся в них 0day уязвимостях отправляется соответствующим вендорам на исправление. Компания Google не только не возражает против взлома своих смартфонов, но и активно приветствует подобные хакерские атаки.Источник
Над материалом работали
Смотрит
Посмотрел
Планирует
Бросил
ТОП 18
Смотрит
Посмотрел
Планирует
Бросил