Els pirates informàtics van utilitzar l’avantatge per deixar de banda l’estació de treball de vmware durant pwn2own 2017
Vídeo: Bed Wars Em Servidor 2024
El concurs Pwn2Own d’enguany es va donar per acabat després de tres dies de pirateria de navegadors i sistemes operatius. Al final, el navegador Microsoft Edge va aparèixer com a perdedor després d'haver fallat en atacs durant l'acte.
Un equip de la firma de seguretat xinesa Qihoo 360 va explotar Edge i va enllaçar dos defectes de seguretat per escapar d'un amfitrió de la VMware Workstation. L’equip va rebre 105.000 dòlars com a recompensa per descobrir les vulnerabilitats. Zero Day Initiative, que va patrocinar el concurs, va dir en una publicació al bloc:
El nostre dia va començar amb la gent de 360 Security (@ mj0011sec) intentant una escapada de màquina virtual completa a través de Microsoft Edge. En un primer per a la competició Pwn2Own, van assolir absolutament un aprofitament de pila a Microsoft Edge, un tipus de confusió al nucli de Windows i un buffer no inicialitzat a VMware Workstation per obtenir una escapada completa de màquina virtual. Aquests tres errors li van guanyar 105.000 dòlars i 27 punts Master of Pwn. No diran exactament el temps que va dur la investigació, però la demostració del codi va necessitar només 90 segons.
A continuació, Richard Zhu (fluorescència) es dirigia a Microsoft Edge amb una escalada a nivell del sistema. Tot i que el seu primer intent va fracassar, el seu segon intent va aprofitar dos errors separats d’ús després de lliure (UAF) a Microsoft Edge i després es va escalar a SYSTEM mitjançant un desbordament de buffer al nucli de Windows. Això li va obtenir 55.000 dòlars i 14 punts envers Master of Pwn.
Tencent Security també va obtenir 100.000 dòlars per la segona escapada de la VMware Workstation. ZDI va explicar:
L’esdeveniment final tant del dia com del concurs va tenir Tencent Security: Team Sniper (Keen Lab i PC Mgr) dirigit a l’estació de treball VMWare (Guest-to-Host), i l’esdeveniment no va acabar amb cap murmuri. Van utilitzar una cadena de tres errors per guanyar la categoria Virtual Escapes (convidats a host) amb una explotació VMWare Workstation. Es tractava d’un nucli de Windows UAF, un infoleak de Workstation i un buffer no inicialitzat a Workstation per anar de host a host. Aquesta categoria va solucionar la dificultat encara més perquè VMware Tools no estava instal·lat a la convidada.
Tot i que el concurs Pwn2Own no té un mètode just per atacar tots els navegadors per igual, Microsoft òbviament encara té un llarg camí per millorar per millorar la seguretat d’Edge.
Com protegir els dispositius iot contra els pirates informàtics [5 mètodes]
Ja heu sentit a parlar de l'Internet de les coses, però no esteu segur del que significa? Continua llegint per esbrinar què és IoT i per què s’ha de prendre seriosament ...
Els nous ordinadors portàtils de l'estació de treball de Lenovo s'adrecen a dissenyadors i enginyers
Si ets un dissenyador, enginyer o simplement algú que busqui comprar un portàtil de Windows potent que pugui executar aplicacions CAD perfectament, estàs d’enhorabona. Lenovo ha anunciat recentment les noves estacions de treball mòbils ThinkPad W550. En la conferència de la Universitat Autodesk de 2014, Lenovo ha presentat els nous ThinkPad W550s, nous dispositius mòbils per a estacions de treball ...
L'estació de treball Vmware 12 pro, el reproductor 12 i la fusió 8 admet ara Windows 10
VMware ha anunciat recentment el llançament del nou paquet de programari, incloent VMware Workstation 12 Pro, VMware Workstation 12 Player i VMware Fusion 8. Tots aquests nous programes són completament compatibles amb el sistema operatiu Windows 10. Com que VMware Workstation 12 compta amb el suport complet de Windows 10, podreu executar-lo com a host, com ...