সম্প্রতি তারা নিজেদের পরিচিত করেছে একটি ব্লগ পোস্টের মাধ্যমে Pwn2Own 2022 প্রতিযোগিতার তিন দিনের ফলাফল, যা CanSecWest সম্মেলনের অংশ হিসাবে বার্ষিক অনুষ্ঠিত হয়।
এই বছরের সংস্করণে দুর্বলতাকে কাজে লাগানোর জন্য কৌশলগুলি দেখানো হয়েছে পূর্বে অজানা উবুন্টু ডেস্কটপ, ভার্চুয়ালবক্স, সাফারি, উইন্ডোজ 11, মাইক্রোসফ্ট টিম এবং ফায়ারফক্সের জন্য. মোট, 25টি সফল আক্রমণ প্রদর্শিত হয়েছিল এবং তিনটি প্রচেষ্টা ব্যর্থতায় শেষ হয়েছিল। আক্রমণগুলি সমস্ত উপলব্ধ আপডেট সহ অ্যাপ্লিকেশন, ব্রাউজার এবং অপারেটিং সিস্টেমের সর্বশেষ স্থিতিশীল সংস্করণগুলি এবং ডিফল্ট সেটিংসে ব্যবহার করেছে৷ প্রদত্ত পারিশ্রমিকের মোট পরিমাণ ছিল US$1.155.000।
2 সালের মধ্যে Pwn2022Own ভ্যাঙ্কুভার চলছে, এবং প্রতিযোগিতার 15তম বার্ষিকী ইতিমধ্যেই প্রদর্শনে কিছু অবিশ্বাস্য গবেষণা দেখেছে। ইভেন্ট থেকে আপডেট ফলাফল, ছবি এবং ভিডিওর জন্য এই ব্লগের সাথে থাকুন৷ Pwn লিডারবোর্ডের লেটেস্ট মাস্টার সহ আমরা সব এখানে পোস্ট করব।
প্রতিযোগিতা পূর্বে অজানা দুর্বলতাগুলিকে কাজে লাগানোর পাঁচটি সফল প্রচেষ্টা প্রদর্শন করেছে উবুন্টু ডেস্কটপে, অংশগ্রহণকারীদের বিভিন্ন দল দ্বারা তৈরি।
একটি পুরস্কৃত করা হয় উবুন্টু ডেস্কটপে স্থানীয় বিশেষাধিকার বৃদ্ধি প্রদর্শনের জন্য $40,000 পুরস্কার দুটি বাফার ওভারফ্লো এবং ডবল রিলিজ সমস্যা শোষণ করে। চারটি বোনাস, প্রতিটি $40,000 মূল্যের, এটি প্রকাশের পরে মেমরি অ্যাক্সেস সম্পর্কিত দুর্বলতাগুলিকে কাজে লাগিয়ে বিশেষাধিকার বৃদ্ধি প্রদর্শনের জন্য প্রদান করা হয়েছিল (ব্যবহার-আফটার-ফ্রি)।
সাফল্য – কিথ ইয়ো (@kyeojy) উবুন্টু ডেস্কটপে ইউজ-আফটার-ফ্রি এক্সপ্লয়েটের জন্য $40K এবং Pwn পয়েন্টের 4টি মাস্টার জিতেছেন।
সমস্যার কোন উপাদানগুলি এখনও রিপোর্ট করা হয়নি, প্রতিযোগিতার শর্তাবলী অনুসারে, সমস্ত প্রদর্শিত 0-দিনের দুর্বলতার বিস্তারিত তথ্য শুধুমাত্র 90 দিন পরে প্রকাশিত হবে, যা দুর্বলতাগুলি অপসারণের জন্য নির্মাতাদের দ্বারা আপডেটের প্রস্তুতির জন্য দেওয়া হয়।
সফলতা - ২য় দিনে চূড়ান্ত প্রচেষ্টায়, নর্থওয়েস্টার্ন ইউনিভার্সিটির টিউটেলারি টিমের জেনপেং লিন (@মার্কাক_), ইউইকি চেন (@লুইস_চেন_), এবং জিনিউ জিং (@xingxinyu) সফলভাবে ইউজ আফটার ফ্রি বাগ প্রদর্শন করেছেন যা Ub-এ বিশেষাধিকার বৃদ্ধির দিকে নিয়ে গেছে ডেস্কটপ. এটি আপনাকে $2 এবং 40,000 মাস্টার অফ Pwn পয়েন্ট পাবে।
টিম অরকা অফ সি সিকিউরিটি (security.sea.com) উবুন্টু ডেস্কটপে 2টি বাগ চালাতে সক্ষম হয়েছে: একটি আউট-অফ-বাউন্ডস রাইট (OOBW) এবং ইউজ-আফটার-ফ্রি (UAF), $40,000 উপার্জন করেছে এবং Pwn পয়েন্টের 4টি মাস্টার .
সাফল্য: টিম Orca অফ সি সিকিউরিটি (security.sea.com) উবুন্টু ডেস্কটপে 2টি বাগ চালাতে সক্ষম হয়েছে: একটি আউট-অফ-বাউন্ডস রাইট (OOBW) এবং ব্যবহার-আফটার-ফ্রি (UAF), জিতেছে $40,000 এবং 4টি মাস্টার Pwn পয়েন্ট।
অন্যান্য আক্রমণের মধ্যে যেগুলি সফলভাবে পরিচালিত হতে পারে, আমরা নিম্নলিখিতগুলি উল্লেখ করতে পারি:
- ফায়ারফক্সের জন্য একটি শোষণের বিকাশের জন্য 100 হাজার ডলার, যা একটি বিশেষভাবে ডিজাইন করা পৃষ্ঠা খোলার মাধ্যমে স্যান্ডবক্সের বিচ্ছিন্নতা এবং সিস্টেমে কোড কার্যকর করার অনুমতি দেয়।
- $40,000 একটি শোষণ প্রদর্শনের জন্য যা ওরাকল ভার্চুয়ালবক্সে একটি অতিথিকে লগ আউট করতে একটি বাফার ওভারফ্লো সুবিধা নেয়৷
- Apple Safari চালানোর জন্য $50,000 (বাফার ওভারফ্লো)।
- মাইক্রোসফট টিম হ্যাক এর জন্য $450,000 (বিভিন্ন দল পুরষ্কার সহ তিনটি হ্যাক প্রদর্শন করেছে
- $150,000 প্রতিটি)।
- Microsoft Windows 80,000-এ বাফার ওভারফ্লো এবং বিশেষাধিকার বৃদ্ধির সুবিধা নিতে $40,000 (দুই $11 বোনাস)।
- Microsoft Windows 80,000-এ আপনার সুযোগ-সুবিধা বাড়াতে অ্যাক্সেস যাচাইকরণ কোডের একটি বাগ কাজে লাগাতে $40,000 (দুই $11 বোনাস)।
- Microsoft Windows 40-এ আপনার সুযোগ-সুবিধা বাড়াতে পূর্ণসংখ্যা ওভারফ্লোকে কাজে লাগাতে $11k।
- মাইক্রোসফ্ট উইন্ডোজ 40,000-এ ব্যবহার-পরে-মুক্ত দুর্বলতাকে কাজে লাগানোর জন্য $11।
- একটি টেসলা মডেল 75,000 গাড়ির ইনফোটেইনমেন্ট সিস্টেমে আক্রমণ প্রদর্শনের জন্য $3। পূর্বে পরিচিত স্যান্ডবক্স বাইপাস কৌশল সহ বাফার ওভারফ্লো এবং ফ্রি ডাবল বাগ ব্যবহার করা হয়েছে।
সবশেষে কিন্তু অন্তত নয়, এটি উল্লেখ করা হয়েছে যে প্রতিযোগিতার দুই দিনের মধ্যে তিনটি হ্যাকিং প্রচেষ্টা অনুমোদিত হওয়া সত্ত্বেও যে ব্যর্থতাগুলি ঘটেছে, তা হল: Microsoft Windows 11 (6 সফল হ্যাক এবং 1 ব্যর্থ), টেসলা (1 হ্যাক সফল এবং 1 ব্যর্থ হয়েছে) ) এবং মাইক্রোসফট টিম (3 সফল হ্যাক এবং 1 ব্যর্থ)। এই বছর Google Chrome-এ শোষণ প্রদর্শনের জন্য কোনও অনুরোধ ছিল না।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি মূল পোস্টে বিস্তারিত চেক করতে পারেন নিম্নলিখিত লিঙ্ক।