Рубрика «Pwn2Own»

Новые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще - 1

Ежегодные соревнования «белых» взломщиков Pwn2Own 2021 состоялись и в этом году. Конечно, онлайн, поскольку пандемия никуда не делась. Участников попросили попробовать взломать 23 разных продукта, чтобы продемонстрировать ранее неизвестные уязвимости и способы их эксплуатации.

Участники соревнования успешно взломали Ubuntu Desktop, Windows 10, Сhrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams и Zoom. Как всегда, взламывались продукты с последними обновлениями, а не устаревшие версии. Призовой фонд соревнования в этом году составил $1 500 000, из них было выплачено $1 200 000.
Читать полностью »

На Pwn2Own-2020 взломали Windows, Ubuntu и macOS и VirtualBox; конкурс впервые прошёл по сети - 1
Источник: Zero Day Initiative

Организаторы конкурса Pwn2Own подвели итоги мероприятия. В этом году состязание, которое обычно проходит в Канаде в рамках конференции по информационной безопасности CanSecWest, впервые состоялось в онлайн-режиме из-за вспышки COVID-19. Участники заранее отправили эксплойты организаторам Pwn2Own, которые запускали код во время прямой трансляции.Читать полностью »

image

Несколько недель назад на Хабре публиковалась новость о том, что Илон Маск пообещал привезти Tesla Model 3 на конференцию Pwn2Own и отдать электромобиль тому, кто сможет его взломать. При этом предприниматель высказывал сомнение в том, что кому-то удастся обойти защитные системы транспортного средства.

Но, как оказалось, умельцы действительно нашлись. Так, команда Fluoroacetate, в состав которой входят Амат Кама и Ричард Жу, взломали машину через браузер Tesla. Они использовали баг JIT, который позволял получить управление электромобилем. Например, показать сообщение произвольного характера на экране.
Читать полностью »

На Pwn2Own предлагают Tesla Model 3 тому, кто взломает систему защиты электромобиля - 1

Конференция CanSecWest привлекает многих специалистов по информационной безопасности. Рассказать о собственных достижениях в плане проверки на прочность защищенных и не очень систем хочется многим. Кроме того, в рамках конференции обычно проводится конкурс профессионалов по кибербезопасности Pwn2Own.

Об этом конкурсе часто пишут на Хабре с указанием достижений победителей. В этом году победитель может пойти домой не пешком, а уехать на новенькой Tesla Model 3. Компания Tesla предлагает свой электромобиль тем специалистам, кто сможет взломать систему защиты транспортного средства.
Читать полностью »

Security Week 12: опасная фича в Windows, китайские хакеры сломали все вокруг, инспектировать HTTPS надо с умом - 1Порой плохую фичу сложно отличить от хорошего бага. В каком-то смысле она даже хуже бага – фиксить-то ее не будут. Вот и Microsoft уже шестой год знает о симпатичной возможности перехвата сессии любого пользователя локальным администратором. Погодите, это же админ, ему все можно! Однако давайте разберемся что здесь не так.
Читать полностью »

Pwn2Own 2017: итоги десятого по счету соревнования хакеров - 1

В этом году прошло уже десятое по счету соревнование хакеров Pwn2Own, которое проводится организацией Zero Day Initiative. Каждый год о ходе соревнований рассказывают и авторы Хабра, но в этом году почему-то этого не случилось. Поэтому мы, компания Kingservers, исправляем это упущение. Так вот, в этом году призовой фонд соревнования составил рекордные 1 миллион долларов. Участникам предлагалось показать свои навыки в пяти основных категориях.

Это взлом виртуальных машин (VMware Workstation и Microsoft Hyper-V), взлом браузеров и плагинов к ним (Microsoft Edge, Google Chrome, Mozilla Firefox, Apple Safari и Flash Player для Edge), повышение привилегий (Microsoft Windows, macOS и десктопная версия Ubuntu), взлом разного типа корпоративных приложений (Adobe Reader, Word, Excel и PowerPoint) и взлом серверов (Apache Web Server под Ubuntu). Надо сказать, что участникам удалось многое, соревнование было очень интересным.
Читать полностью »

Результаты Pwn2Own 2016: взломаны Windows, OS X, Chrome, Edge и Safari - 1

В этом году конкурс Pwn2Own на хакерской конференции CanSecWest 2016 принёс традиционно неутешительный результат для операционных систем и браузеров. Участникам удалось успешно запустить эксплоиты для найденных уязвимостей в последних версиях Windows и OS X, в Adobe Flash, а также во всех трёх браузерах — Chrome, Edge и Safari. В общей сложности хакеры получили вознаграждений на сумму $460 000.

Firefox не приняли для участия в этом году, потому что в нём «не сделано серьёзных улучшений безопасности по сравнению с прошлым годом», пояснил Брайан Горенц (Brian Gorenc), менеджер подразделения Vulnerability Research в компании HPE, спонсора мероприятия, наряду с компанией TrendMicro.
Читать полностью »

Завершился первый день известного контеста Pwn2Own 2016, который проходит в Ванкувере. Соревнование представляет из себя площадку, на которой security-ресерчеры могут продемонстрировать свои эксплойты для различных продуктов, включая, веб-браузеры и плагины к ним. На этот раз система проведения Pwn2Own была несколько изменена и была введена система очков за успешные эксплуатации уязвимостей, а также в списке продуктов появилось известное ПО для виртуализации VMware Workstation.

Pwn2Own 2016: первые итоги - 1

Как не трудно догадаться, в случае с VMware Workstation участникам предлагается продемонстрировать успешный «побег» из виртуальной машины (VM escape) и запуская эксплойт на виртуальной машине, его код должен выполниться на хосте. Правилами регламентируется, что все запускаемое ПО, а также ОС, должны быть полностью обновлены (up-to-date).

Читать полностью »

Умом. Корейский исследователь и «серийный» взломщик браузеров Юнь Хон Ли (JungHoon Lee), действующий под ником lokihardt, на хакерском конкурсе Pwn2Own продемонстрировал уязвимости в Internet Explorer 11, Google Chrome (для Microsoft Windows), а также Apple Safari (для OS X). Попутно, он также «поломал» плагины Adobe Reader и Flash Player.

Как заработать 225000$ за 2 дня - 1

Целью конкурса было продемонстрировать опасности основных 64-битных браузеров топовой четверки. Из чего сложился заработок? За Google Chrome он получил крупнейшую выплату в истории конкурса за один эксплойт, $75000; дополнительную выплату в $25000 – за повышение прав на систему, а также бонус в $10000 за взлом бета-версии браузера, то есть всего $110000.
Читать полностью »

Второй день Pwn2Own завершился успешной эксплуатацией уязвимостей во всех заявленных браузерах: Google Chrome, Microsoft IE11, Apple Safari, Mozilla Firefox. Информацию о первом дне соревнований мы размещали в предыдущем посте, там же была указана используемая конфигурация браузеров и ОС. В отличие от первого дня, на сей раз было продемонстрировано удаленное исполнение кода и в браузере Google Chrome.

Pwn2Own 2015: итоги - 1

Обновление для браузера Mozilla Firefox, которое устраняет продемонстрированные на контесте уязвимости уже было выпущено для пользователей. Обновления для других браузеров придут позднее. За два дня соревнования ресерчерам удалось заработать $557,500, причем успешному взлому подверглись все заявленные браузеры и плагины для них.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js