image

Exploits voor Microsoft Teams leveren onderzoekers 450.000 dollar op

donderdag 19 mei 2022, 11:23 door Redactie, 2 reacties

Onderzoekers hebben tijdens de Pwn2Own-hackwedstrijd in het Canadese Vancouver meerdere onbekende kwetsbaarheden in Microsoft Teams, Mozilla Firefox, Windows 11, Oracle VirtualBox, Ubuntu en Safari gedemonstreerd. Exploits voor de beveiligingslekken in Microsoft Teams werden in totaal met 450.000 dollar beloond.

Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, besturingssystemen en communicatiesoftware. Tijdens de eerste dag werden zestien onbekende kwetsbaarheden gedemonstreerd, waarvoor in totaal 800.000 dollar aan prijzengeld werd uitgekeerd.

Onderzoekers van drie verschillende teams lieten zien hoe het mogelijk is om het systeem van gebruikers over te nemen door bijvoorbeeld alleen het opzetten van een gesprek of versturen van bericht. Exacte details zijn niet openbaar gemaakt. Daarnaast demonstreerden onderzoekers kwetsbaarheden in Firefox en Safari. Via de Safari-aanval is het mogelijk om code binnen de browser uit te voeren, via de Firefox-aanval werd een volledige overname van het onderliggende systeem gedemonstreerd.

De kwetsbaarheden in zowel Ubuntu als Windows 11 maken het voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen. De VirtualBox-aanval maakt het mogelijk voor een aanvaller om code op het het hostsysteem uit te voeren. Details worden nu met de betreffende leveranciers gedeeld, zodat die met beveiligingsupdates kunnen komen. Wanneer dit precies zal zijn is onbekend. Pas na het verschijnen van de patches worden de details van de kwetsbaarheden openbaargemaakt. Vandaag vindt de tweede dag van Pwn2Own plaats, waarbij onder andere een aanval tegen een Tesla Model 3 gepland staat.

Reacties (2)
19-05-2022, 13:43 door Anoniem
via de Firefox-aanval werd een volledige overname van het onderliggende systeem gedemonstreerd.
Wat voor systeem?
19-05-2022, 15:34 door [Account Verwijderd] - Bijgewerkt: 19-05-2022, 15:35
Door Anoniem:
via de Firefox-aanval werd een volledige overname van het onderliggende systeem gedemonstreerd.
Wat voor systeem?

Maakt niet uit, zal wel Windows zijn maar ook voor Ubuntu is er een out of bounds write vulnerability beloond met $40k net als een OOBW voor macOS
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.