Pwn2Own 2023 এ তারা সফলভাবে 5টি উবুন্টু হ্যাক প্রদর্শন করেছে

Pwn2 ওয়ান 2023

Pwn2Own 2033 ভ্যাঙ্কুভারে অনুষ্ঠিত হয়েছিল

সম্প্রতি ফলাফল প্রতিযোগিতার তিন দিন Pwn2 ওয়ান 2023, যা ভ্যাঙ্কুভারে CanSecWest সম্মেলনের অংশ হিসাবে প্রতি বছর অনুষ্ঠিত হয়।

এই নতুন সংস্করণে দুর্বলতাকে কাজে লাগানোর জন্য কৌশলগুলি দেখানো হয়েছে উবুন্টু, অ্যাপল ম্যাকোস, ওরাকল ভার্চুয়ালবক্স, ভিএমওয়্যার ওয়ার্কস্টেশন, মাইক্রোসফ্ট উইন্ডোজ 11, মাইক্রোসফ্ট টিমস, মাইক্রোসফ্ট শেয়ারপয়েন্ট এবং টেসলা যানবাহনের জন্য পূর্বে অজানা।

মোট 27টি সফল আক্রমণ প্রদর্শন করা হয়েছে যে পূর্বে অজানা দুর্বলতা শোষণ.

যারা Pwn2Own এর সাথে অপরিচিত তাদের জন্য, আপনার জানা উচিত যে এটি ট্রেন্ড মাইক্রো জিরো-ডে ইনিশিয়েটিভ (ZDI) দ্বারা সংগঠিত একটি বিশ্বব্যাপী হ্যাকিং ইভেন্ট, যা 2005 সাল থেকে সংঘটিত হয়ে আসছে। এতে, কিছু সেরা হ্যাকিং দল প্রযুক্তিগত লক্ষ্যগুলির বিরুদ্ধে প্রতিযোগিতা করে। ডিফল্ট এবং একে অপরকে, 'শূন্য-দিন' শোষণ ব্যবহার করে।

এই এলিট হ্যাকার বাউন্টি হান্টার এবং সিকিউরিটি রিসার্সারদের একটি কড়া সময়সীমা আছে প্রশ্নে থাকা টার্গেট সফলভাবে 'pwn' করার জন্য। Pwn লিডারবোর্ডের মাস্টার্সে পয়েন্ট যোগ করার মাধ্যমে সাফল্য উভয়ই পুরস্কৃত করা হয়, এবং Pwn2Own-এর প্রশংসাকে অবমূল্যায়ন করা উচিত নয় কারণ এখানে প্রতিযোগিতামূলক প্রকৃতি শক্তিশালী, সেইসাথে চিত্তাকর্ষক পেআউট। মোট, Pwn2Own Vancouver 2023 এর একটি পুরষ্কার তহবিল রয়েছে $1 মিলিয়নেরও বেশি।

প্রথম পড়েছিল অ্যাডোব রিডার আবদুল আজিজ হারিরির পরে ব্যবসায়িক অ্যাপ্লিকেশন বিভাগে (@আবধারিরি) হাবুব এসএ থেকে একটি চেইন ব্যবহার করেছেন কীর্তিকলাপ একটি 6-বাগ লজিক চেইনকে টার্গেট করা যা একাধিক ব্যর্থ প্যাচের অপব্যবহার করেছে যা স্যান্ডবক্স থেকে পালিয়ে গেছে এবং $50.000 জিতে macOS-এ নিষিদ্ধ API-এর একটি তালিকা বাইপাস করেছে।

প্রতিযোগিতায় বিস্ফোরণের পাঁচটি সফল প্রচেষ্টা প্রদর্শন করেছে পূর্বে অজানা দুর্বলতা উবুন্টু ডেস্কটপ, অংশগ্রহণকারীদের বিভিন্ন দল দ্বারা তৈরি.

স্মৃতির দ্বিগুণ মুক্ত হওয়ার কারণে সমস্যাগুলি হয়েছিল (একটি $30k বোনাস), দ বিনামূল্যে পরে মেমরি অ্যাক্সেস (একটি $30k বোনাস), ভুল পয়েন্টার হ্যান্ডলিং (একটি $30k বোনাস)। দুটি ডেমোতে, ইতিমধ্যে পরিচিত, কিন্তু স্থির নয়, দুর্বলতা ব্যবহার করা হয়েছিল (15 হাজার ডলারের দুটি বোনাস)। উপরন্তু, উবুন্টু আক্রমণের একটি ষষ্ঠ প্রচেষ্টা করা হয়েছিল, কিন্তু শোষণ কাজ করেনি।

সমস্যার উপাদানগুলি সম্পর্কে এখনও রিপোর্ট করা হয়নি, প্রতিযোগিতার শর্তাবলী অনুসারে, সমস্ত প্রদর্শিত শূন্য দিনের দুর্বলতা সম্পর্কে বিস্তারিত তথ্য শুধুমাত্র 90 দিন পরে প্রকাশিত হবে, যা দুর্বলতাগুলি দূর করার জন্য নির্মাতাদের দ্বারা আপডেটের প্রস্তুতির জন্য দেওয়া হয়।

অন্যান্য ডেমো সম্পর্কে সফল আক্রমণগুলির মধ্যে নিম্নলিখিতগুলি উল্লেখ করা হয়েছে:

  • তিনটি ওরাকল ভার্চুয়ালবক্স হ্যাকগুলি ফ্রি দুর্বলতা, বাফার ওভারফ্লো এবং রিড আউট অফ বাফারের পরে মেমরি অ্যাক্সেস দ্বারা সৃষ্ট দুর্বলতাগুলিকে শোষণ করে (40টি দুর্বলতাকে কাজে লাগানোর জন্য দুটি $80k বোনাস এবং $3k বোনাস যা হোস্ট সাইডে কোড কার্যকর করার অনুমতি দেয়)।
  • Apple এর macOS এলিভেশন ($40K প্রিমিয়াম)।
  • মাইক্রোসফ্ট উইন্ডোজ 11-এ দুটি আক্রমণ যা তাদের সুযোগ-সুবিধা বাড়াতে দেয় ($30.000 বোনাস)।
  • দুর্বলতাগুলি পোস্ট-ফ্রি মেমরি অ্যাক্সেস এবং ভুল ইনপুট যাচাইকরণের কারণে হয়েছিল।
  • শোষণে দুটি বাগের চেইন ব্যবহার করে মাইক্রোসফ্ট টিমের উপর আক্রমণ ($75,000 প্রিমিয়াম)।
  • মাইক্রোসফট শেয়ারপয়েন্টে আক্রমণ ($100,000 বোনাস)।
  • বিনামূল্যে মেমরি এবং একটি অপ্রবর্তিত পরিবর্তনশীল ($80 প্রিমিয়াম) অ্যাক্সেস করে VMWare ওয়ার্কস্টেশনে আক্রমণ।
  • Adobe Reader-এ কন্টেন্ট রেন্ডার করার সময় কোড এক্সিকিউশন। 6টি ত্রুটির একটি জটিল চেইন আক্রমণ করতে, স্যান্ডবক্সকে বাইপাস করতে এবং নিষিদ্ধ API ($50,000 পুরস্কার) অ্যাক্সেস করতে ব্যবহার করা হয়েছিল।

টেসলা গাড়ির ইনফোটেইনমেন্ট সিস্টেম এবং টেসলা গেটওয়েতে দুটি আক্রমণ, রুট অ্যাক্সেস লাভের অনুমতি দেয়। প্রথম পুরস্কার ছিল $100,000 এবং একটি টেসলা মডেল 3 গাড়ি এবং দ্বিতীয় পুরস্কার ছিল $250,000৷

আক্রমণগুলি সমস্ত উপলব্ধ আপডেট এবং ডিফল্ট সেটিংস সহ অ্যাপ্লিকেশন, ব্রাউজার এবং অপারেটিং সিস্টেমের সর্বশেষ স্থিতিশীল সংস্করণ ব্যবহার করেছে। মোট ক্ষতিপূরণের পরিমাণ ছিল $1,035,000 এবং একটি গাড়ি। সর্বাধিক পয়েন্ট সহ দলটি $530,000 এবং একটি টেসলা মডেল 3 পেয়েছে।

পরিশেষে, যদি আপনি এটি সম্পর্কে আরও জানতে আগ্রহী হন, তাহলে আপনি বিস্তারিত জানতে পারেন নীচের লিঙ্কে।


মন্তব্য করতে প্রথম হতে হবে

আপনার মন্তব্য দিন

আপনার ইমেল ঠিকানা প্রকাশিত হবে না। প্রয়োজনীয় ক্ষেত্রগুলি দিয়ে চিহ্নিত করা *

*

*

  1. ডেটার জন্য দায়বদ্ধ: মিগুয়েল অ্যাঞ্জেল গাটান
  2. ডেটার উদ্দেশ্য: নিয়ন্ত্রণ স্প্যাম, মন্তব্য পরিচালনা।
  3. আইনীকরণ: আপনার সম্মতি
  4. তথ্য যোগাযোগ: ডেটা আইনি বাধ্যবাধকতা ব্যতীত তৃতীয় পক্ষের কাছে জানানো হবে না।
  5. ডেটা স্টোরেজ: ওসেন্টাস নেটওয়ার্কস (ইইউ) দ্বারা হোস্ট করা ডেটাবেস
  6. অধিকার: যে কোনও সময় আপনি আপনার তথ্য সীমাবদ্ধ করতে, পুনরুদ্ধার করতে এবং মুছতে পারেন।