Змагаючись хакери зламали macOS, Windows 10 і Ubuntu

Популярні хакерські змагання Pwn2Own зазвичай проходять в рамках конференції CanSecWest у Ванкувері (Канада), і учасники повинні брати участь в них особисто. Однак у зв’язку з пандемією коронавіруса організатор заходу Zero Day Initiative (ZDI) прийняв рішення вперше за всю історію Pwn2Own провести змагання в режимі online.

Перший день Pwn2Own пройшов в середу, 18 березня. Команді Georgia Tech Systems Software&Security Lab вдалося успішно виконати код на macOS через уразливості в браузері Safari і заробити $ 70 тис. Розроблена командою атака вмикала виклик калькулятора в Safari і підвищення привілеїв до суперкористувача шляхом експлуатації шести уразливостей.

Учасник команди RedRocket CTF Манфред Пол (Manfred Paul) отримав $ 30 тис. за експлуатацію уразливості локального підвищення привілеїв в Ubuntu Desktop, існуючу через недостатню перевірки вхідних даних.

Легендарна команда Fluoroacetate в складі Амата Ками (Amat Cama) і Річарда Чжу (Richard Zhu) заробила $ 40 тис. За експлуатацію уразливості локального підвищення привілеїв в Windows 10. За ще одну подібну уразливість Чжу отримав ще $ 40 тис.

pwn2own tokyo 2019

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Нагадаємо, використовуючи реквізити платіжних карток громадян інших держав, зловмисник купував товари в Інтернет-магазинах. Далі продавав їх у соціальних мережах українцям.

Окрім цього, прогалини в безпеці знайдені в продуктах Amazon, Apple, Google, Samsung, Raspberry, Xiaomi, а також точках доступу від Asus і Huawei.

До речі, рекламні агенції, що надавали послуги з розміщення реклами, в тому числі на сайтах онлайн-кінотеатрів, своєю діяльністю забезпечували функціонування ресурсів з піратським контентом.

Також довгий час більшість користувачів вважали, що загроз для Linux значно менше, ніж для Windows чи macOS. Однак останнім часом комп’ютерні системи та додатки на базі цієї операційної системи все частіше стають об’єктами атак кіберзлочинців.