Pwn2Own 2020 va ser portat en línia a causa de l'Covid-19 i es van mostrar hacks per Ubuntu, Virtualbox i més

Darkcrizt

4 minuts

Pwn2Own és un concurs de hacking que es realitza anualment en la conferència de seguretat CanSecWest, a partir de l'any 2007. Els participants s'enfronten a el desafiament d'explotar programari i dispositius mòbils àmpliament utilitzats amb vulnerabilitats desconegudes fins ara.

Els guanyadors de el concurs reben el dispositiu que van explotar, un premi en efectiu i una jaqueta "Màsters"Que celebra l'any de la seva victòria. El nom "Pwn2Own" es deriva de el fet que els participants han de "PWN" o hack de el dispositiu per "posseir" o guanyar-lo.

el concurs Pwn2Own serveix per demostrar la vulnerabilitat de dispositius i programari d'ús generalitzat i també proporciona un punt de control sobre el progrés realitzat en seguretat des de l'any anterior.

Sobre Pwn2Own 2020

En aquesta nova edició de la Pwn2Own 2020, en aquest any les competicions es van dur a terme virtualment i els atacs es van mostrar en línia, A causa de la problemàtica que s'ha generat per la propagació de l'Cornonavirus (Covid-19), sent aquesta la primera vegada la seva organitzador Zero Day Initiative (ZDI), hagi decidit organitzar l'esdeveniment permetent que els participants demostrin remotament les seves gestes.

Durant la competència es van presentar diverses tècniques de treball per explotar vulnerabilitats prèviament desconegudes a Ubuntu Desktop (Nucli de Linux), Windows, macOS, Safari, VirtualBox i Adobe Reader.

La suma total dels pagaments va ascendir a 270 mil dòlars (El pou de premis total va ascendir a més de 4 milions de dòlars americans).

En un resum, els resultats de dos dies de la competència Pwn2Own 2020 celebrada anualment a la conferència CanSecWest són els següents:

    • Durant el primer dia de Pwn2Own 2020, un equip de l'Laboratori de Software i Seguretat de Geòrgia Tech Systems (@SSLab_Gatech) hackeig Safari amb l'escalada de privilegis a el nivell de nucli de macOS i iniciar la calculadora amb privilegis de root. La cadena d'atac va implicar 70,000:XNUMX vulnerabilitats i va permetre que l'equip guanyés $ XNUMX.
    • Durant l'esdeveniment Manfred Paul de la «RedRocket» es va encarregar de demostrar l'escalada de privilegis locals en Ubuntu Desktop a través de l'explotació d'una vulnerabilitat en el nucli de Linux associada amb la verificació incorrecta dels valors d'entrada. Això ho porto a guanyar un premi de 30 mil dòlars.
    • també es va realitzar la demostració de sortir d'un entorn convidat en VirtualBox i executar codi amb els drets d'un hipervisor, Explotant dues vulnerabilitats: la capacitat de llegir dades d'una àrea fora de la memòria intermèdia assignat i un error a l'treballar amb variables no inicialitzades, el premi per demostrar aquesta fallada va ser de 40 mil dòlars. Fora de la competència, els representants de Zero Day Initiative també van demostrar un altre truc de VirtualBox, que permet l'accés a el sistema host a través de manipulacions a l'entorn de l'hoste.

  • Es van mostrar dues demostracions de escalada de privilegis locals en Windows a través de l'explotació de vulnerabilitats que condueixen a l'accés a una àrea de memòria ja alliberada, amb això es van concedir dos premis de 40 mil dòlars cada un.
  • Obtenir accés d'administrador a Windows a l'obrir un document PDF especialment dissenyat en Adobe Reader. L'atac involucra vulnerabilitats en Acrobat i en el nucli de Windows relacionades amb l'accés a àrees de memòria ja alliberades (premi de 50 mil dòlars).

Les nominacions restants no reclamades van ser referides per hackejar Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office i Microsoft Windows RDP.

També es va intentar hackejar VMware Workstation, però l'intent no va tenir èxit. Com en l'any passat, el hackeig de la majoria dels projectes oberts (nginx, OpenSSL, Apache httpd) no va entrar en les categories de premis.

Per separat, podem observar el tema de l'hackeo dels sistemes d'informació d'automòbils Tesla.

No hi va haver intents de hackejar Tesla a la competencia, tot i la prima màxima de $ 700 mil, però hi va haver informació separada sobre la detecció de vulnerabilitat DoS (CVE-2020-10558) en Tesla Model 3, que permet desactivar una pàgina especialment dissenyada en el navegador incorporat notificacions de el pilot automàtic i interrompen el funcionament de components com velocímetre, navegador, aire condicionat, sistema de navegació, etc.

font: https://www.thezdi.com/


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.