Pwn2Own 2021 предложит $200 000 за эксплойты для Zoom и Microsoft Teams

Pwn2Own 2021 предложит $200 000 за эксплойты для Zoom и Microsoft Teams

Проект Trend Micro Zero Day Initiative (ZDI) на этой неделе огласил список целей, размер вознаграждений и правила конкурса Pwn2Own, который в этом году состоится в Ванкувере. Уточним, что соревнование для хакеров пройдёт с 6 по 8 апреля.

В этот раз из-за пандемии коронавирусной инфекции COVID-19 Pwn2Own будет проходить в смешанном формате. Исследователи смогут удалённо присылать свои эксплойты, а сотрудники ZDI в Торонто и Остине будут их запускать. Всё это действо будет транслироваться в прямом эфире на YouTube и Twitch.

Призовой фонд Pwn2Own 2021 превысил $1,5 миллиона наличными, также участники могут выиграть другие призы, включая Tesla Model 3. Стоит учитывать, что электромобиль могут получить только те исследователи, которые найдут уязвимости в соответствующей отрасли (автомобильной промышленности).

Например, можно попробовать взломать ту же машину Tesla, что принесёт в случае успеха $600 000. Всего будут три уровня сложности в этой категории, Tesla Model 3 можно выиграть в каждом из них.

 

Помимо этого, ZDI приготовил исследователям новую категорию: за демонстрацию полностью рабочих эксплойтов для уязвимостей в Zoom или Microsoft Teams хакеры могут заработать до $200 000.

«В этом случае специалисты должны продемонстрировать компрометацию целевого приложения с помощью аудиовызова, видеоконференции или текстового сообщения», — отметили организаторы конкурса.

Полный список всех правил, категорий и призов можно найти на официальном сайте Zero Day Initiative.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

0-day в Exchange Server используется в атаках на российские компании

Уязвимость в Exchange Server, об эксплуатации которой на днях предупредила Microsoft, затронула и российские компании. О кибератаках с участием этой 0-day предупредили специалисты компании BI.ZONE.

По данным исследователей, жертвами эксплуатации уязвимости нулевого дня стали приблизительно 40 российских компаний. Основная цель киберпреступников — кража внутренней конфиденциальной информации.

Брешь, получившая идентификатор CVE-2021-26857, позволяет атакующим получить полный доступ к почтовым аккаунтам пользователей на Microsoft Exchange Server, а также установить вредоносную программу.

От экспертов из «Лаборатории Касперского» также поступила информация, о возможном участии программы-вымогателя (шифровальщика) в атаках на российские компании. Таким образом, злоумышленники могут не только похищать важные конфиденциальные данные, но и шифровать файлы, требуя выкуп.

Массовая эксплуатация уязвимости стала следствием публикации информации об уязвимости. Как только Microsoft сообщила о проблеме безопасности, киберпреступники сразу взяли её на вооружение.

Специалисты BI.ZONE зафиксировали кибератаки со следующих IP-адресов:

  • 130.255.189[.]21
  • 86.105.18[.]116
  • 104.223.89[.]147
  • 104.244.92[.]215
  • 46.101.232[.]43
  • 31.28.31[.]132

Организациям стоит установить все необходимые обновления, как рекомендует Microsoft. Это поможет защитить свои сети от атак.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru