مؤخرا جعلوا أنفسهم معروفين من خلال منشور مدونة نتائج الأيام الثلاثة لمسابقة Pwn2Own 2022، الذي يُعقد سنويًا كجزء من مؤتمر CanSecWest.
في طبعة هذا العام تم إثبات أن التقنيات تعمل على استغلال الثغرات الأمنية غير معروف سابقا لـ Ubuntu Desktop و Virtualbox و Safari و Windows 11 و Microsoft Teams و Firefox. في المجموع ، تم إظهار 25 هجومًا ناجحًا وانتهت ثلاث محاولات بالفشل. استخدمت الهجمات أحدث الإصدارات الثابتة من التطبيقات والمتصفحات وأنظمة التشغيل مع جميع التحديثات المتاحة وفي الإعدادات الافتراضية. بلغ إجمالي المكافآت المدفوعة 1.155.000،XNUMX،XNUMX دولار أمريكي.
تجري Pwn2Own Vancouver بحلول عام 2022 ، وقد شهدت الذكرى السنوية الخامسة عشرة للمسابقة بالفعل بعض الأبحاث المذهلة المعروضة. ابق على اتصال بهذه المدونة للحصول على نتائج وصور ومقاطع فيديو محدثة من الحدث. سننشرها جميعًا هنا ، بما في ذلك أحدث لوحة ليدربورد Master of Pwn.
المنافسة أظهر خمس محاولات ناجحة لاستغلال ثغرات لم تكن معروفة من قبل في Ubuntu Desktop ، بواسطة فرق مختلفة من المشاركين.
حصل على أ جائزة قدرها 40,000،XNUMX دولار لإظهار تصعيد الامتياز المحلي في Ubuntu Desktop من خلال استغلال مشكلتي تجاوز سعة المخزن المؤقت والإصدار المزدوج. تم دفع أربع مكافآت ، تبلغ قيمة كل منها 40,000 ألف دولار ، مقابل إظهار تصعيد الامتيازات من خلال استغلال الثغرات الأمنية المتعلقة بالوصول إلى الذاكرة بعد إصدارها (Use-After-Free).
النجاح - فاز Keith Yeo (kyeojy) بمبلغ 40 ألف دولار و 4 نقاط Master of Pwn لاستغلال ما بعد الاستخدام المجاني على سطح مكتب Ubuntu.
ما هي مكونات المشكلة التي لم يتم الإبلاغ عنها بعد ، وفقًا لشروط المسابقة ، لن يتم نشر المعلومات التفصيلية حول جميع نقاط الضعف المثبتة في اليوم الواحد إلا بعد 0 يومًا ، والتي يتم تقديمها لإعداد التحديثات من قبل الشركات المصنعة لإزالة الثغرات الأمنية.
النجاح - في المحاولة الأخيرة في اليوم الثاني ، أظهر Zhenpeng Lin (Markak_) و Yueqi Chen (Lewis_Chen_) و Xinyu Xing (xingxinyu) من فريق TUTELARY التابع لجامعة Northwestern بنجاح استخدامًا بعد خلل مجاني أدى إلى رفع الامتياز في Ubuntu سطح المكتب. هذا يكسبك 2 دولار و 40,000 نقاط Master of Pwn.
تمكن فريق Orca من Sea Security (security.sea.com) من تشغيل خطأين على سطح مكتب Ubuntu: كتابة خارج الحدود (OOBW) والاستخدام بعد الخالي (UAF) ، وكسب 2 دولار أمريكي و 40,000 نقاط Master of Pwn Points .
النجاح: تمكن فريق Orca من Sea Security (security.sea.com) من تشغيل خطأين على سطح مكتب Ubuntu: كتابة خارج الحدود (OOBW) والاستخدام بعد الخالي (UAF) ، وربح 2،40,000 دولار و 4 Master of نقاط Pwn.
ومن العمليات الأخرى التي يمكن تنفيذها بنجاح ، نذكر ما يلي:
- 100 ألف دولار لتطوير ثغرة لمتصفح فايرفوكس ، والتي سمحت بفتح صفحة مصممة خصيصًا للالتفاف على عزل الصندوق الرمل وتنفيذ كود في النظام.
- 40,000 دولار لإثبات استغلال يستفيد من تجاوز سعة المخزن المؤقت في Oracle Virtualbox لتسجيل خروج ضيف.
- 50,000 دولار لتشغيل Apple Safari (تجاوز سعة المخزن المؤقت).
- 450,000 ألف دولار أمريكي لاختراقات Microsoft Teams (أظهرت فرق مختلفة ثلاثة عمليات اختراق بمكافأة
- 150,000 دولار لكل منهما).
- 80,000 دولار (مكافأتان 40,000 دولار) للاستفادة من تدفقات المخزن المؤقت وتصعيد الامتيازات في Microsoft Windows 11.
- 80,000 دولار (مكافأتان 40,000 دولار) لاستغلال خطأ في رمز التحقق من الوصول لرفع امتيازاتك في Microsoft Windows 11.
- 40 ألف دولار لاستغلال تجاوز عدد صحيح لرفع امتيازاتك في Microsoft Windows 11.
- 40,000 دولار أمريكي لاستغلال ثغرة أمنية بعد الاستخدام المجاني في نظام التشغيل Microsoft Windows 11.
- 75,000 دولار لإثبات هجوم على نظام المعلومات والترفيه لسيارة تسلا موديل 3. استخدمت الثغرة تجاوز سعة المخزن المؤقت والأخطاء المزدوجة المجانية ، جنبًا إلى جنب مع تقنية تجاوز الصندوق الرمل المعروفة سابقًا.
أخيرًا وليس آخرًا ، يُذكر أنه في يومين من المنافسة ، كانت الإخفاقات التي حدثت على الرغم من محاولات القرصنة الثلاثة المسموح بها ، هي التالية: Microsoft Windows 11 (6 عمليات اختراق ناجحة وفشل 1) ، Tesla (1 اختراق ناجح و 1 فشل ) و Microsoft Teams (3 عمليات اختراق ناجحة وفشل واحد). لم تكن هناك طلبات لإثبات الثغرات في Google Chrome هذا العام.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك التحقق من التفاصيل في المنشور الأصلي في الرابط التالي.