PWN2WOWN以两个虚拟机逃脱结束
HP Inc结果通过PC销售推动,因为它等待3D制造业
以下是微软如何将其发货的方法备注
Apple的Swift进入Tiobe的十大编程语言
议会电脑以电话网络钓鱼针对的员工担任风险
再次努力开始拯救加利福尼亚州。大学的IT工作
新加坡公共医疗保健部门限制互联网使用
新的办公室365消费者订阅于2016年62%
Tier 2签证拒绝涂料为英国技术技能Grim图片
新的Windows 10 Build是一个怪物更新
沙特阿拉伯将英国金公司享受其海岸
碎片扼杀思科 - Android网络伙伴关系
Apple与竞争对手合作推动AI研究
A.I.I基的键入生物识别方法可能是身份验证的下一个大事
移动运营商吸引了暗光纤的回归5G
政府推出G-Cloud 10
Broadcom通过CA Technologies交易获得企业业务
字母表说气球击败无人机互联网交付
标记和斯宾塞作为与创始人工厂的零售合作伙伴关系的一部分投资初创公司
Virtus Data Centers绘制了泥沼式派对网站的进一步扩展
2016年赎金软件飙升,而恶意软件拒绝
Boris Johnson希望Tech打击非法野生动物贸易
西方数字开始生产世界上最高的3D NAND'摩天大楼'
Hammond承诺资金帮助中小企业采用数字技术
ITPS扩展数据中心以支持Azure Stack和HPC
两个酋长,两种数字转型方法
澳大利亚首席科学家呼吁AI条例
复杂定价妨碍AWS,Google和Microsoft Cloud IoT集线器的企业评估
什么是Windows 10补丁KB 3211320?微软似乎没有知道
在数百个Android应用程序中发现的敏感访问令牌和密钥
Apple的iCloud保存已删除的浏览器记录
Apple的未来取决于1000美元的iPhone 8+智能手机
全球IOT安全标准仍然难以捉摸
攻击者开始从CouchDB和Hadoop数据库中擦除数据
谷歌让用户与地图获得社交
里约热茶用自动列车运输铁矿石
AWS季度收入持续上升,但增长放缓
Raspberry PI用于工业应用的新电脑销售
英国金融服务公司向新服务提供技术投资
公司期待云安全的自动化
全球银行的五分之一,艾迪将促进客户体验
微软的浏览器恢复失去习惯,差价达到25%
Ex-DWP IT承包商赢得IR35案例对抗HMRC
Coinrail Cyber​​ Heist强调需要交换安全性
Microsoft在挪威扩展了数据中心占地面积
Superbike Team添加了管理的UC来支持赛车手
基于JavaScript的攻击简化了浏览器漏洞利用
IT高管认为企业正在进行数字转型缓慢
思科的一体化火花板将云放在墙上
俄罗斯的网络表归咎于美国竞选黑客现在瞄准MACS
您的位置:首页 >科技 > 物联科技 >

PWN2WOWN以两个虚拟机逃脱结束

2021-08-07 18:44:36 [来源]:

通过从VMware Workstation虚拟机和主机操作系统上执行代码,两个研究人员的两支研究人员在今年的PWN2WACHING竞赛中赢得了最大的赏金。

虚拟机在许多情况下使用,以创建丢弃的环境,以便在妥协的情况下对主操作系统没有威胁。例如,许多恶意软件研究人员在虚拟机内执行恶意代码或访问危险网站,以观察其行为并包含其影响。

[评论这个故事,请访问Computerworld的Facebook页面。]

VMware Workstation等虚拟机关的主要目标之一是在虚拟机内运行的客户机操作系统和管理程序运行的主机操作系统之间创建屏障。这就是为什么VM逃生漏洞是高度珍贵的,而不是浏览器或OS漏洞。

今年,在加拿大温哥华的Cansecwest会议期间,PWN2OWN的组织者在加拿大温哥华的CANSECWEST会议期间提供了100,000美元的奖项,用于打破VMware工作站或Microsoft Hyper-V虚拟机管理程序强制执行的隔离层。

周五,在比赛的第三和最后一天,两支球队加强了挑战;他们都来自中国。

团队狙击手,由来自互联网服务提供商腾讯的Keen Lab和PC Manager配置的研究人员组成,将三个漏洞挂在一起,以从VMware Workstation内部运行到主机操作系统的客户操作系统。

另一个团队从Qihoo 360的安全臂实现了一个更令人印象深刻的攻击链,从Microsoft Edge的妥协开始,移动到Windows内核,然后从VMware工作站虚拟机逃脱。他们被授予了105,000美元的壮举。

漏洞利用方案很难开始,因为攻击者必须从客户操作系统上的非特权帐户开始,并且没有安装VMware工具,vmware工具,一个驱动程序和实用程序,增强虚拟机的功能的功能。VMware Tools可能提供更多攻击表面。

还在第三天,研究员Richard Zhu成功地攻击了Microsoft Edge,完成了系统级特权升级,赢得了55,000美元。在比赛期间,它是第五次微软边缘利用。

Apple“S Safari掉了四次Mozilla Firefox一次,但谷歌Chrome仍未受到僵结。研究人员还展示了两个用于Adobe Reader的漏洞,两个用于闪存播放器,都是沙箱逃脱的。该比赛还包括许多特权升级在Windows和MacOS上漏洞利用。

QIHOO 360团队赢得了最多的积分,并为今年的版本加冕为PWN硕士。其次是腾讯的队伍狙击手和中国朝鲜技术安全研究实验室的团队。

研究人员必须与安全供应商趋势科技,比赛的组织者分享他们的利用,然后将它们向受影响的软件供应商报告。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。