Pwn2Own je natjecanje u hakiranju održava se godišnje na konferenciji o sigurnosti CanSecWest, počevši od 2007. godine. Sudionici se suočavaju s izazovom iskorištavanja softvera i mobilnih uređaja široko se koristi sa do tada nepoznatim ranjivostima.
Pobjednici takmičenja dobivaju uređaj koji su iskoristili, novčanu nagradu i „MastersProslavljajući godinu svoje pobjede. Naziv "Pwn2Own" izveden je iz činjenice da sudionici moraju "pwn" ili hakirati uređaj kako bi ga "posjedovali" ili osvojili.
Takmičenje Pwn2Own služi za demonstraciju ranjivosti široko korištenih uređaja i softvera a pruža i kontrolnu točku napretka postignutog u sigurnosti od prethodne godine.
O Pwn2Own 2020
U ovom novom izdanju Pwn2Own 2020, u ovoj godini natjecanja su se održavala virtualno, a napadi su se prikazivali na mreži, zbog problema koji su nastali širenjem kornonavirusa (Covid-19), ovo je prvi put da ste organizator Inicijativa za nulti dan (ZDI), su odlučili organizirati događaj omogućavajući učesnicima da demonstriraju na daljinu njegovi podvizi.
Tokom takmičenja predstavljene su razne radne tehnike za iskorištavanje ranjivosti ranije nepoznata u Ubuntu Desktop (Linux kernel), Windows, macOS, Safari, VirtualBox i Adobe Reader.
Ukupan iznos uplata iznosio je 270 hiljada dolara (Ukupni nagradni fond bio je preko 4 miliona američkih dolara).
Ukratko, rezultati dvodnevnog takmičenja Pwn2Own 2020 koji se održavaju svake godine na konferenciji CanSecWest su sljedeći:
-
- Tokom prvog dana Pwn2Own 2020, tim iz Gruzije Software and Security Lab TechSystems (@SSLab_Gatech) Hakiranje Safarija s eskalacijom privilegija na razini macOS-a i pokrenite kalkulator s root privilegijama. Lanac napada uključivao je šest ranjivosti i omogućio timu da zaradi 70,000 dolara.
- Tokom događaja Manfred Paul iz "RedRocket" bio je zadužen za demonstraciju eskalacije lokalnih privilegija u Ubuntu Desktop kroz iskorištavanje ranjivosti u Linux jezgri povezanoj s netačnom provjerom ulaznih vrijednosti. To je dovelo do toga da je osvojio nagradu od 30 dolara.
- Tambien demonstracija je napravljena iz napuštanja gostinjskog okruženja u VirtualBoxu i izvršavanja koda s pravima hipervizoraIskorištavanjem dvije ranjivosti: mogućnosti čitanja podataka s područja izvan dodijeljenog međuspremnika i greške pri radu s neinicijaliziranim varijablama, nagrada za dokazivanje ove mane bila je 40 USD. Izvan konkurencije, predstavnici Zero Day Initiative također su demonstrirali još jedan trik VirtualBox, koji omogućava pristup host sistemu kroz manipulacije u gostujućem okruženju.
- Dvije demonstracije lokalna eskalacija privilegija u sustavu Windows iskorištavanjem ranjivosti koji vode do pristupa već oslobođenom području memorije, uz ove dvije nagrade od po 40 hiljada dolara.
- Pristupite administratorskom pristupu u sustavu Windows prilikom otvaranja PDF dokumenta posebno dizajniran u Adobe Readeru. Napad uključuje ranjivosti u programu Acrobat i u Windows jezgri povezane s pristupom već oslobođenim memorijskim područjima (nagrada od 50 USD).
Preostale nominacije za koje nije zatraženo su upućene za hakiranje Chromea, Firefoxa, Edgea, Microsoft Hyper-V klijenta, Microsoft Officea i Microsoft Windows RDP-a.
Također je bio pokušaj hakiranja VMware Workstation, ali pokušaj je bio neuspješan. Kao i prošle godine, hakiranje većine otvorenih projekata (nginx, OpenSSL, Apache httpd) nije ušlo u kategorije nagrada.
Odvojeno, možemo se osvrnuti na pitanje hakiranja informativnih sistema automobila Tesla.
Nije bilo pokušaja hakiranja Tesle u konkurenciji.a, uprkos maksimalnoj premiji od 700 hiljada dolara, ali postojale su odvojene informacije o otkrivanju ranjivosti DoS-a (CVE-2020-10558) u Teslinom modelu 3, koji omogućava onemogućavanje posebno dizajnirane stranice u ugrađenim obaveštenjima autopilota pregledača i prekid rada komponenata poput brzinomera, navigatora, klima uređaja, navigacionog sistema itd.
Izvor: https://www.thezdi.com/