Sıfır gün istismarları Windows 11, VMware ESXI ve Firefox


Pwn2own Berlin 2025 geçen gün etkileyici teknolojik başarılarla sona erdi ve toplam ödül parasını bir milyon doların üzerinde getirdi.

Güvenlik araştırmacıları, Windows 11, VMware ESXI ve Mozilla Firefox da dahil olmak üzere yüksek profilli hedeflere karşı sofistike sömürü teknikleri gösterdiler ve satıcıların ele alması gereken kritik sıfır gün güvenlik açıklarını ortaya koydu.

Üç günlük hack yarışması 28 benzersiz sıfır günlük güvenlik açığı sergiledi ve araştırmacılar toplam ödüllerde 1.078.750 dolar kazandı.

– Reklamcılık –
Google Haberleri

3. gün, büyük platformlara karşı birkaç önemli sıfır gün istismarı içeriyordu.

Eski PWN kazananı Manfred Paul, Mozilla Firefox’u render motorunda bir tamsayı taşma güvenlik açığı kullanarak başarıyla sömürdü ve 50.000 dolar ve 5 Master PWN puanı kazandı.

Yalnızca bu oluşturucu istismar, sofistike saldırganların tarayıcı güvenlik açıkları yoluyla sistemleri nasıl tehlikeye atabileceğini gösterdi.

Windows 11 güvenliği gün boyunca iki kez ihlal edildi.

Miloš Ivanović, rekabetin son girişiminde ayrıcalıkları sistem seviyesine yükseltmek için bir yarış koşulu kırılganlığı göstererek 15.000 dolar kazandı.

Daha önce, bir DevCore araştırma ekibi üyesi Windows 11’de ayrıcalık artışını başarıyla gösterdi, ancak kullanılan iki hatadan biri zaten Microsoft tarafından biliniyordu.

PWN Ustası
PWN Ustası

VMware’in sanallaştırma ürünleri de savunmasızdı. Reverse_tactics’ten Corentin Bayet, kısmi çarpışmaya rağmen 112.500 $ kazanan bir tamsayı taşma güvenlik açığı ve daha önce bildirilen bir şekilde bildirilen bir değişken hatası kullanarak VMware ESXI kullandı.

Buna ek olarak, Synacktiv’ten Thomas Bouzerar ve Etienne Helluy-Lafont, yığın tabanlı bir tampon taşması yoluyla VMware iş istasyonunu başarıyla kullandı ve 80.000 $ ve 8 Master PWN puanlarını netleştirdi.

Star Labs SG iddiaları

Star Labs SG, genel kazanan olarak ortaya çıktı ve 320.000 dolarlık kazanç ve 35 puanla PWN unvanının prestijli ustasını iddia etti.

Ekipleri birden fazla kategoride olağanüstü teknik yetenek gösterdi.

Özellikle etkileyici bir gösteride, ekip üyeleri Dung ve Nguyen, sanal bir makineden kaçmak için denetim saatine (Toctou) bir yarış durumundan yararlandı ve pencerelerdeki ayrıcalıkları artırmak için dizi indeks güvenlik açığının uygunsuz bir şekilde doğrulanmasıyla birleştirdi.

Bu karmaşık saldırı zinciri onlara 70.000 dolar ve 9 Master PWN puan kazandı.

NVIDIA Konteyner Araç Seti
NVIDIA Konteyner Araç Seti

Ancak, tüm girişimler başarılı değildi. Star Labs ekibi, ayrılan zaman dilimi içinde Nvidia’nın Triton Exerence sunucusunu kullanamadı ve seçkin araştırmacılar için bile rekabetin zorlu doğasını vurguladı.

Rekor kıran bir ödül havuzunun önemli noktaları

Rapora göre, 2025 Berlin etkinliği, üç gün boyunca verilen 1.078.750 $ ile önemli bir kilometre taşı olarak işaretledi-sadece son gün 383.750 $.

Bu rekor kıran ödül havuzu, giderek daha bağlı bir dünyada güvenlik araştırmalarının artan önemini ve ekonomik değerinin altını çiziyor.

Etkinlik sırasında satın alınan ve açıklanan 28 benzersiz sıfır günden yedisi, yapay zeka sistemleri daha yaygın hale geldikçe genişleyen saldırı yüzeyini yansıtan AI kategorisinden geldi.

Rekabet biçimi, kötü niyetli aktörler bunlardan yararlanmadan önce kritik güvenlik açıklarını tanımlamak için etkili bir mekanizma olarak hizmet etmeye devam etmektedir.

OfSensiveCon tarafından düzenlenen etkinlik, tüm teknoloji ekosistemine fayda sağlayan bir kooperatif çerçevesinde seçkin güvenlik araştırmacılarını ve satıcıları bir araya getirdi.

Satıcılar, açıklanan güvenlik açıklarını ele almaya başladılar ve etkinliğin dünya çapında kullanıcılar için dijital güvenliği geliştirme üzerindeki pratik etkisini gösterdiler.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link