Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
…to arsenał tajemniczej grupy (grup?), którą opisuje Google Project Zero. Exploity było kolportowane z dwóch serwerów, a osadzane w różnych (zhackowanych?) stronach.
Co ciekawe nawet w momencie gdy jednak podatność została załatana w Androidzie, na serwerze pojawił się patch całego exploita – wykorzystano po prostu alternatywną podatność…
Kampania była odpalona pod koniec 2020 roku, a zestaw dziur, które były wykorzystane w atakach wygląda następująco:
W całym opisie Projektu Zero czuć respekt do twórców całej akcji – zapewnili oni skuteczne metody utrudniania analizy ataków (nawet specjalistom z Google nie udało się przechwycić pełnego ciągu wszystkich ataków), jedna z technik eksploitacji Chrome była całkowicie “nowatorska”, podobnie technika eskalacji uprawnień do root w iOS była “nietrywialna”.
Obecnie nie wiadomo kto stoi za całą kampanią…
–ms