Zoom ve Microsoft kolayca hacklendi! Hackerlar 1 milyon dolar için yarıştı

Şu anda toplam 1 milyon dolardan fazla ödül veren bir müsabakada yarışmacılara 400.000 dolar kazandıran hackler, bir kullanıcının bilgisayarının denetimini ele geçirmek için son derece tanınan görüntü konferans araçlarını hedeflemenin mümkün olduğunu gösteriyor.

Forbes’un haberine nazaran Zoom saldırısı, kurbanın rastgele bir şeye tıklamasını gerektirmediği ve bilgisayar korsanlarının maksat bilgisayara kendi yazılımlarını yazmasına müsaade verdiği için bilhassa dikkat cazipti. Berbat niyetli bilgisayar korsanları olsaydı, bu bir sistemi gözetlemek için makûs gayeli yazılım olabilirdi, fakat basitçe bir hesap makinesi başlattılar (başarılı bir atağın klasik bir kanıtı). Bu hackleme Computest Computest’ten Daan Keuper ve Thijs Alkemade’in çalışmasıydı. Bu bilgiler Trend Micro kuruluşu olan ZDI Initiative blog yazısında açıklandı.

ZDI’ye nazaran, OV ismiyle giden bir bilgisayar korsanı, “Microsoft Teams’de kod yürütülmesini göstermek için bir çift yanılgıyı birleştirdiğinde” 200.000 dolar kazandı. Windows 10 ve Exchange dahil olmak üzere öbür birçok Microsoft teknolojisi de rekabetin bir kesimi olarak akına uğradı. Kelamda DEVCORE grubu, bir kimlik doğrulama atlama kusuru ve bir Exchange sunucusu üzerinde tam denetim sahibi olmalarına müsaade veren bir kusur buldu. Çin tarafından gerçekleştirildiği sav edilen on binlerce Exchance sunucusuna  yapılan son saldırılar  göz önüne alındığında, Microsoft e-posta teknolojisinin güvenliğini sağlamak için aciliyet artmaktadır.

Güvenlik açıkları yamalanana kadar detaylar ortaya çıkmayacaktır. Yarışmacıların buldukları güvenlik açıklarını satıcılara ifşa etmeleri gerektiği düşünüldüğünde, ne Microsoft ne de Zoom yayın sonrasına kadar isteklere cevap vermemişti, fakat şu anda düzeltmeler üzerinde çalıştıkları neredeyse kesin.

ZDI Teşebbüsü, bu yılki Pwn2Own yarışmasında 1 milyon dolardan fazla ödül rekoru kırdığını söyledi. Yarışın Perşembe günkü son günü, Exchange, Windows 10, Ubuntu işletim sistemi ve Parallels sanal masaüstü yazılımındaki zayıflıklardan yararlanmaya yönelik daha fazla teşebbüs görecek

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir