fa poc es van donar a conèixer els resultats de els tres dies de la competició Pwn2Own 2021, que se celebra anualment com a part de la conferència CanSecWest.
Com l'any anterior, els concursos es van realitzar de forma virtual i els atacs es van demostrar en línia. Dels 23 objectius, s'han demostrat tècniques operatives per explotar vulnerabilitats prèviament desconegudes per a Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams i Zoom.
En tots els casos, es van provar les últimes versions de programari, incloses totes les actualitzacions disponibles. La suma total dels pagaments va ascendir a un milió dos-cents mil dòlars nord-americans.
A la competència, es van realitzar tres intents per explotar vulnerabilitats en Ubuntu de les quals es van explicar el primer i segon intent i els atacants van poder demostrar l'escalada de privilegis locals a través de l'explotació de vulnerabilitats prèviament desconegudes relacionades amb desbordaments de memòria intermèdia i doble alliberament de memòria (en els quals els components de el problema encara no s'han informat i se'ls dóna als desenvolupadors 90 dies per corregir errors fins que es divulguin les dades ).
D'aquestes vulnerabilitats que es van demostrar per Ubuntu, es van pagar bonificacions de $ 30,000.
El tercer intent, realitzat per un altre equip en la categoria d'abús de privilegis locals, Va ser només parcialment reeixit: l'exploit va funcionar i va permetre accedir a l'arrel, però l'atac no va ser completament acreditat, ja que l'error associat amb la vulnerabilitat ja estava catalogada i era coneguda pels desenvolupadors d'Ubuntu i s'estava preparant una actualització amb una solució.
També s'ha demostrat un atac reeixit per als navegadors amb tecnologia Chromium: Google Chrome i Microsoft Edge, d'aquests es va pagar un bo de $ 100,000 per crear un exploit que permet executar codi al entrar a una pàgina especialment dissenyada a Chrome i Edge (es va crear un exploit universal per als dos navegadors).
En el cas d'aquesta vulnerabilitat s'esmenta que està previst que la correcció es publiqui en les pròximes hores, mentre que només se sap que la vulnerabilitat està present en el procés és responsable de processar el contingut web (renderizador).
D'altra banda, van ser pagats 200 mil dòlars en Zoom i es va demostrar que es pot hackejar l'aplicació Zoom a l'executar un codi enviant un missatge a un altre usuari, sense necessitat de cap acció per part de l'destinatari. L'atac va utilitzar tres vulnerabilitats en Zoom i una al sistema operatiu Windows.
També es va donar una bonificació de $ 40,000 per tres operacions reeixides de Windows 10 en les quals es van demostrar vulnerabilitats relacionades amb el desbordament de sencers, accés a memòria ja alliberada i condicions de carrera que van permetre obtenir privilegis de l'SISTEMA).
Un altre dels intents que es va demostrar, però que en aquest cas no va tenir èxit va ser per a VirtualBox, El qual va quedar dins de les recompenses juntament amb Firefox, VMware ESXi, client Hyper-V, MS Office 365, MS SharePoint, MS RDP i Adobe Reader que van romandre sense reclamar.
Tampoc hi va haver persones disposades a demostrar l'hackeo de el sistema d'informació de l'acte Tesla, tot i el premi de 600 mil dòlars més l'acte Tesla Model 3.
Dels altres premis que van ser atorgats:
- 200 mil dòlars per desxifrar Microsoft Exchange (ometent l'autenticació i l'escalada de privilegis locals al servidor per obtenir drets d'administrador). A un altre equip se li va mostrar un altre exploit reeixit, però el segon premi no es va pagar, ja que el primer equip ja va utilitzar els mateixos errors.
- 200 mil dòlars en el hackeig d'equips de Microsoft (execució de codi al servidor).
- 100 mil dólarespara l'operació d'Apple Safari (desbordament de sencers en Safari i desbordament de memòria intermèdia en el nucli de macOS per evitar el sandbox i executar codi a nivell de el nucli).
- 140,000 per hackejar Parallels Desktop (tancar accedir a la màquina virtual i executar el codi en el sistema principal). L'atac es va dur a terme mitjançant l'explotació de tres vulnerabilitats diferents: pèrdua de memòria no inicialitzada, desbordament de pila i desbordament de sencers.
- Dos premis de $ 40 mil dòlars per hacks de Parallels Desktop (error lògic i desbordament de la memòria intermèdia que va permetre que el codi s'executés en un sistema operatiu extern a través d'accions dins d'una màquina virtual).