Nedavno rezultati tri dana takmičenja Pwn2Own 2021, održava se svake godine u sklopu konferencije CanSecWest.
Kao i prethodne godine, takmičenja su održana virtuelno a napadi su demonstrirani na internetu. Od 23 cilja, demonstrirane su operativne tehnike za iskorištavanje ranije nepoznatih ranjivosti za Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams i Zoom.
U svim slučajevima testirane su najnovije verzije softvera, uključujući sva dostupna ažuriranja. Ukupan iznos isplata iznosio je milion i dvije stotine hiljada američkih dolara.
u konkurenciji, učinjena su tri pokušaja da se iskoriste ranjivosti u Ubuntu-u od kojih su uračunati prvi i drugi pokušaj i napadači su bili u mogućnosti da demonstriraju lokalnu eskalaciju privilegija kroz iskorištavanje ranije nepoznatih ranjivosti u vezi sa prekoračenjem bafera i dvostrukim oslobađanjem memorije (u kojima komponente problema još nisu prijavljene, a programeri imaju 90 dana da isprave greške dok se podaci ne otkriju).
Od ovih ranjivosti koje su demonstrirane za Ubuntu, isplaćeni su bonusi od 30,000 dolara.
Treći pokušaj, drugi tim u kategoriji zloupotrebe lokalnih privilegija, bio je samo djelomično uspješan: eksploatacija je radila i omogućila root pristup, ali napad nije u potpunosti pripisan, od tada Greška povezana s ranjivosti je već katalogizirana i bio je poznat Ubuntu programerima i pripremalo se ažuriranje sa ispravkom.
Takođe Demonstriran uspješan napad za pretraživače na Chromiumu: Google Chrome i Microsoft Edge, od kojih je plaćen bonus od 100,000 dolara za kreiranje eksploatacije koja omogućava izvršavanje koda kada otvorite posebno kreiranu stranicu u Chromeu i Edgeu (univerzalni eksploat je kreiran za dva pretraživača).
U slučaju ove ranjivosti, pominje se da je popravka planirana za objavljivanje u narednih nekoliko sati, dok je poznato samo da je ranjivost prisutna u procesu koji je odgovoran za obradu web sadržaja (renderer).
S druge strane, 200 hiljada dolara plaćeno je u Zoomu i Pokazalo se da se aplikacija Zoom može hakovati izvršavanjem koda slanje poruke drugom korisniku, bez potrebe za bilo kakvom radnjom od strane primaoca. Napad je koristio tri ranjivosti u Zoomu i jednu u Windows operativnom sistemu.
Bonus od 40,000 dolara je također dat za tri uspješne Windows 10 operacije u kojima su demonstrirane ranjivosti u vezi sa prekoračenjem cijelih brojeva, pristupom već oslobođenoj memoriji i uslovima trke koji su omogućavali dobijanje privilegija SYSTEM).
Još jedan pokušaj što je i dokazano, ali u ovom slučaju nije bio uspješan bio je za VirtualBox, koji je bio uključen u nagrade zajedno sa Firefoxom, VMware ESXi, Hyper-V klijentom, MS Office 365, MS SharePoint, MS RDP i Adobe Readerom koji je ostao nepotražen.
Takođe nije bilo voljnih da demonstriraju hakovanje informacionog sistema automobila Tesla, uprkos nagradi od 600 hiljada dolara plus automobil Tesla Model 3.
Od ostalih nagrada koji su nagrađeni:
- 200 dolara za razbijanje Microsoft Exchange-a (zaobilaženje autentifikacije i eskaliranje lokalnih privilegija na serveru kako bi se dobila administratorska prava). Drugom timu je prikazan još jedan uspješan exploit, ali druga nagrada nije isplaćena, jer je prvi tim već koristio iste greške.
- 200 hiljada dolara u hakiranju Microsoft opreme (izvršavanje koda na serveru).
- 100 hiljada dolara za operaciju Apple Safari (prelivanje cijelog broja u Safariju i prelijevanje bafera u macOS kernelu kako bi se izbjegao sandbox i izvršio kod na nivou kernela).
- 140,000 za hakovanje Parallels Desktop-a (odjavljivanje sa virtuelne mašine i pokretanje koda na glavnom sistemu). Napad je izveden iskorištavanjem tri različite ranjivosti: neinicijalizirano curenje memorije, prelivanje steka i prekoračenje cijelog broja.
- Dve nagrade od 40 dolara za Parallels Desktop hakove (logička greška i prekoračenje bafera koji su omogućili pokretanje koda na eksternom operativnom sistemu kroz radnje unutar virtuelne mašine).