ΑρχικήSecurityPwn2Own Toronto: Πάνω από 1 εκατομμύριο δολάρια για 58 zero-day

Pwn2Own Toronto: Πάνω από 1 εκατομμύριο δολάρια για 58 zero-day

Ο διαγωνισμός Pwn2Own Toronto 2023 ολοκληρώθηκε, με τους ερευνητές ασφαλείας να κερδίζουν 1.038.500 δολάρια για 58 εκμεταλλεύσεις zero-day και άλλων σφαλμάτων σε προϊόντα καταναλωτή, μεταξύ 24 και 27 Οκτωβρίου.

Δείτε επίσης: Οι hackers Winter Vivern χρησιμοποιούν Roundcube zero-day για να κλέψουν κυβερνητικά emails

Pwn2Own Toronto

Κατά τη διάρκεια της εκδήλωσης Pwn2Own Toronto 2023, που διοργανώθηκε από την Zero Day Initiative (ZDI) της Trend Micro, οι ερευνητές ασφαλείας που συμμετείχαν επικεντρώθηκαν σε κινητές συσκευές και συσκευές IoT.

Η πλήρης λίστα περιλαμβάνει κινητά τηλέφωνα (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 και Xiaomi 13 Pro), εκτυπωτές, ασύρματους δρομολογητές, συσκευές αποθήκευσης που συνδέονται στο δίκτυο (NAS), κέντρα αυτοματισμού σπιτιού, συστήματα παρακολούθησης, έξυπνα ηχεία και τις συσκευές Pixel Watch και Chromecast της Google, όλες στις προεπιλεγμένες ρυθμίσεις τους και με τις πιο πρόσφατες ενημερώσεις ασφαλείας.

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 14 hours ago

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 21 hours ago

Παρόλο που καμία ομάδα δεν εγγράφηκε για να χακάρει τα κινητά τηλέφωνα Apple iPhone 14 και Google Pixel 7, οι διαγωνιζόμενοι κατάφεραν να χακάρουν το πλήρως ενημερωμένο Samsung Galaxy S23 τέσσερις φορές.

Η ομάδα της Pentest Limited ήταν η πρώτη που παρουσίασε μια επίδειξη zero-day στο Samsung Galaxy S23, εκμεταλλευόμενη μια αδυναμία αναγνώρισης εισόδου για να αποκτήσει δυνατότητα εκτέλεσης κώδικα, κερδίζοντας $50,000 και 5 Master of Pwn πόντους.

Η ομάδα STAR Labs SG αξιοποίησε επίσης μια λίστα επιλεγμένων εισόδων για να χακάρει την πρωτοποριακή συσκευή της Samsung την πρώτη μέρα, κερδίζοντας 25.000 δολάρια και 5 Master of Pwn πόντους.

Δείτε ακόμα: Το πρόσφατα διορθωμένο Citrix NetScaler bug είχε χρησιμοποιηθεί ως zero-day

Οι ερευνητές ασφάλειας από το Interrupt Labs και την ομάδα ToChim κατάφεραν επίσης να διαρρήξουν το Galaxy S22 τη δεύτερη ημέρα του διαγωνισμού, εκμεταλλευόμενοι μια λίστα εισόδων και ένα άλλο αδύναμο σημείο αξιολόγησης εισόδου.

Η ομάδα Viettel κατέκτησε τον διαγωνισμό, κερδίζοντας 180.000 δολάρια και 30 Master of Pwn πόντους. Ακολουθούν στην κατάταξη οι Orca of Sea Security με 116.250 δολάρια (17,25 πόντους) και οι DEVCORE Intern και Interrupt Labs (η καθεμία με 50.000 δολάρια και 10 πόντους).

Οι ερευνητές ασφαλείας εκτέλεσαν επιτυχώς επιθέσεις εκμεταλλευόμενοι 58 zero-day σε συσκευές από πολλούς προμηθευτές, συμπεριλαμβανομένων των Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark, και HP.

zero-day

Μπορείτε να βρείτε το πλήρες πρόγραμμα του διαγωνισμού εδώ. Το πλήρες πρόγραμμα για την πρώτη ημέρα του Pwn2Own Toronto 2023 και τα αποτελέσματα για κάθε πρόκληση αναφέρονται εδώ.

Μετά την αναφορά των ευπαθειών zero-day που εκμεταλλεύτηκαν κατά τη διάρκεια του γεγονότος Pwn2Own, οι προμηθευτές έχουν 120 ημέρες για να κυκλοφορήσουν ενημερώσεις προτού η ZDI τις αποκαλύψει δημοσίως. Τον Μάρτιο, κατά τη διάρκεια του διαγωνισμού Pwn2Own Vancouver 2023, οι διαγωνιζόμενοι κέρδισαν 1.035.000 δολάρια και ένα αυτοκίνητο Tesla Model 3 για 27 ευπάθειες zero-days και αρκετά bug collisions.

Δείτε επίσης: Signal: Δεν υπάρχουν αποδείξεις για την ευπάθεια zero-day

Τα κύρια αντικείμενα και ο σκοπός του Pwn2Own Toronto είναι να προωθήσει την ασφάλεια των συσκευών και των λογισμικών. Αυτό επιτυγχάνεται μέσω της διοργάνωσης μιας εκδήλωσης, όπου οι συμμετέχοντες προσπαθούν να εκμεταλλευτούν αδυναμίες ασφάλειας σε δημοφιλή λογισμικά και λειτουργικά συστήματα. Ο σκοπός είναι να αποκαλυφθούν αυτές οι αδυναμίες και να δοθεί η δυνατότητα στους κατασκευαστές να τις διορθώσουν, βελτιώνοντας έτσι την ασφάλεια των προϊόντων τους.

Ένας ακόμα σκοπός του Pwn2Own Toronto είναι να προωθήσει την ανταλλαγή γνώσεων και τη συνεργασία μεταξύ των ερευνητών ασφαλείας. Οι συμμετέχοντες έχουν την ευκαιρία να μοιραστούν τεχνικές και μεθόδους εκμετάλλευσης ευπαθειών, προωθώντας έτσι την ανάπτυξη της ασφάλειας στον κυβερνοχώρο.

Τέλος, ο σκοπός του Pwn2Own Toronto είναι να αυξήσει την ευαισθητοποίηση του κοινού σχετικά με τις απειλές ασφάλειας στον κυβερνοχώρο. Μέσω της αποκάλυψης των ευπαθειών σε δημοφιλή λογισμικά και συστήματα, οι διοργανωτές του Pwn2Own Toronto επιδιώκουν να ευαισθητοποιήσουν το κοινό σχετικά με τη σημασία της ασφάλειας και την ανάγκη για προστασία των προσωπικών δεδομένων και των πληροφοριών τους.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS