Windows 10 と Exchange と Teams が Pwn2Own でハックされてしまった

Microsoft’s Windows 10, Exchange, and Teams hacked at Pwn2Own

2021/04/07 BleepingComputer — Pwn2Own 2021 の初日のこと、Microsoft Windows 10、Exchange Mail Server、Teams Communication Platform に挑むコンテストの参加者たちは、まだ知られていない脆弱性を利用してハッキングに成功し、総額で $440,000 の賞金をせしめた。最初に陥落したのは、Server カテゴリの Microsoft Exchange である。

Devcore というチームは、認証バイパスとローカル特権昇格の脆弱性を連鎖させることで、Exchange Server 上でのリモートコード実行に成功した。その結果として、$200,000 の賞金と 20 Master of Pwn ポイントを獲得した。次に陥落したのは、Enterprise Communications カテゴリの Microsoft Teams である。OV online という名のセキュリティ・リサーチャーは、2つのセキュリティ・バグを組み合わせることで、Microsoft Teams 上でのコード実行に成功し、$200,000 の賞金と 20 Master of Pwn ポイントを獲得した。

Pwn2Ownで脆弱性が公開された後、ソフトウェアおよびハードウェアのベンダーには 90日間の猶予が与えられたと、この記事は指摘しています。その間に、すべての脆弱性に対する、セキュリティ修正プログラムが開発・リリースされることになります。この Pwn2Own 2021 コンテストには 23のチームと研究者たちが参加し、Web Browsers および、Virtualization、Servers、Local Escalation of Privilege、Enterprise Communications の各カテゴリーで、10種類のプロダクトをターゲットに競いました。

そしてコンテストの勝者たちは、$1,500,000 以上とされる賞金と、Tesla Model 3 を含む賞品を獲得したとのことです。賞金がデカイですが、優秀な人材を探せるという意味では、お安いものかもしれません。ここで優秀な成績を収めた人たちは、きっと CIA や NSA などにリストアップされるでしょうし、中には諜報部員になってしまう人もいるかもしれないなどと、スパイ映画さながらのシナリをを妄想してしまいます。

%d bloggers like this: