Nedávno výsledky z tři dny soutěže Pwn2Own 2021, koná se každoročně v rámci konference CanSecWest.
Stejně jako v předchozím roce se soutěže konaly prakticky a útoky byly demonstrovány online. Z 23 cílů byly předvedeny operační techniky využívající dříve neznámé chyby zabezpečení pro systémy Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams a Zoom.
Ve všech případech byly testovány nejnovější verze softwaru, včetně všech dostupných aktualizací. Celková částka plateb byla jeden milion dvě stě tisíc amerických dolarů.
V soutěži byly provedeny tři pokusy o zneužití slabých míst v Ubuntu z nichž se počítal první a druhý pokus a útočníci byli schopni prokázat eskalaci místních privilegií prostřednictvím zneužití dříve neznámých zranitelností souvisejících s přetečením vyrovnávací paměti a zdvojnásobením uvolnění paměti (ve kterém dosud nebyly hlášeny problémové komponenty a vývojáři dostávají 90 dní na opravu chyb, dokud nebudou zveřejněna data).
Z těchto chyb zabezpečení, které byly předvedeny pro Ubuntu, byly vyplaceny bonusy ve výši 30,000 XNUMX USD.
Třetí pokus provedený jiným týmem v kategorii zneužití místních oprávnění, bylo to jen částečně úspěšné: exploit fungoval a umožňoval přístup root, ale útok nebyl plně připsán, od té doby chyba spojená se zranitelností již byla katalogizována a bylo to vývojářům Ubuntu známo a připravovala se aktualizace s opravou.
také úspěšný útok byl prokázán u prohlížečů s technologií Chromium: Google Chrome a Microsoft Edge, z toho byl vyplacen bonus 100,000 XNUMX $ za vytvoření zneužití, které umožňuje spuštění kódu při otevření speciálně navržené stránky v prohlížeči Chrome a Edge (pro oba prohlížeče byl vytvořen univerzální zneužití).
V případě této chyby zabezpečení se uvádí, že se očekává, že oprava bude publikována v příštích několika hodinách, zatímco je známo pouze to, že chyba je přítomna v procesu, který je zodpovědný za zpracování webového obsahu (vykreslovací modul).
Na druhou stranu, 200 tisíc dolarů bylo vyplaceno v Zoom a ukázalo se, že aplikaci Zoom lze napadnout spuštěním nějakého kódu odeslání zprávy jinému uživateli, není třeba žádné akce ze strany příjemce. Při útoku byly použity tři chyby zabezpečení v programu Zoom a jedna v operačním systému Windows.
Bonus ve výši 40,000 10 USD byl udělen také za tři úspěšné operace Windows XNUMX, ve kterých byly prokázány chyby zabezpečení související s přetečením celých čísel, přístupem k již uvolněné paměti a podmínkami závodu, které umožňovaly získání oprávnění SYSTÉMU).
Další pokus který se ukázal, ale v tomto případě byl neúspěšný byl pro VirtualBox, které zůstaly mezi odměnami spolu s Firefoxem, VMware ESXi, klientem Hyper-V, MS Office 365, MS SharePoint, MS RDP a Adobe Reader, které zůstaly nevyžádané.
Rovněž nebyli žádní lidé ochotní předvést hack informačního systému automobilu Tesla, a to navzdory ceně 600 3 $ plus automobilu Tesla Model XNUMX.
Z dalších ocenění které byly uděleny:
- 200 XNUMX USD na dešifrování serveru Microsoft Exchange (obejmutí ověřování a eskalace místních oprávnění na serveru za účelem získání práv správce). Dalšímu týmu se ukázalo další úspěšné zneužití, ale druhá cena nebyla vyplacena, protože první tým již použil stejné chyby.
- 200 tisíc dolarů za hackování vybavení Microsoftu (spuštění kódu na serveru).
- 100 XNUMX $ za provoz Apple Safari (přetečení celého čísla v Safari a přetečení vyrovnávací paměti v jádře macOS, aby se zabránilo sandboxu a spuštění kódu na úrovni jádra).
- 140,000 XNUMX za hacknutí Parallels Desktop (odhlášení z virtuálního stroje a spuštění kódu v hlavním systému). Útok byl proveden zneužitím tří různých chyb zabezpečení: neinicializovaný únik paměti, přetečení zásobníku a přetečení celého čísla.
- Dvě ceny 40 XNUMX $ za hackování Parallels Desktop (logická chyba a přetečení vyrovnávací paměti, které umožňovalo spuštění kódu na externím operačním systému prostřednictvím akcí ve virtuálním stroji).