Nedávno dali o sobě vědět prostřednictvím příspěvku na blogu výsledky tří dnů soutěže Pwn2Own 2022, která se každoročně koná v rámci konference CanSecWest.
V letošním vydání bylo prokázáno, že techniky využívají zranitelnosti dříve neznámé pro Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams a Firefox. Celkem bylo předvedeno 25 úspěšných útoků a tři pokusy skončily neúspěšně. K útokům byly použity nejnovější stabilní verze aplikací, prohlížečů a operačních systémů se všemi dostupnými aktualizacemi a ve výchozím nastavení. Celková výše vyplacené odměny byla 1.155.000 XNUMX XNUMX USD.
Pwn2Own Vancouver do roku 2022 probíhá a 15. výročí soutěže již přineslo neuvěřitelný výzkum. Zůstaňte naladěni na tomto blogu, kde najdete aktualizované výsledky, obrázky a videa z události. Vše zveřejníme zde, včetně nejnovějšího žebříčku Master of Pwn.
Konkurence předvedl pět úspěšných pokusů o zneužití dříve neznámých zranitelností v Ubuntu Desktop, vytvořeném různými týmy účastníků.
byl oceněn a Odměna 40,000 XNUMX USD za ukázku eskalace místních oprávnění v Ubuntu Desktop využitím dvou problémů s přetečením vyrovnávací paměti a dvojitým uvolněním. Čtyři bonusy, každý v hodnotě 40,000 XNUMX USD, byly vyplaceny za prokázání eskalace oprávnění zneužitím zranitelností souvisejících s přístupem k paměti po jejím vydání (Use-After-Free).
ÚSPĚCH – Keith Yeo ( @kyeojy ) vyhrál 40 4 $ a XNUMX body Master of Pwn za exploit Use-After-Free na Ubuntu Desktop.
Které komponenty problému zatím nejsou hlášeny, podle podmínek soutěže budou podrobné informace o všech prokázaných 0denních zranitelnostech zveřejněny až po 90 dnech, které jsou uvedeny pro přípravu aktualizací výrobci k odstranění zranitelností.
ÚSPĚCH – V posledním pokusu v den 2 Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) a Xinyu Xing (@xingxinyu) z týmu TUTELARY Northwestern University úspěšně předvedli chybu Use After Free, která vedla ke zvýšení oprávnění v Ubuntu. Plocha počítače. Získáte tak 40,000 4 $ a XNUMX body Master of Pwn.
Tým Orca of Sea Security (security.sea.com) dokázal na Ubuntu Desktop spustit 2 chyby: zápis mimo hranice (OOBW) a použití bezplatně (UAF), vydělal 40,000 4 $ a XNUMX body Master of Pwn .
ÚSPĚCH: Tým Orca of Sea Security (security.sea.com) dokázal na Ubuntu Desktop spustit 2 chyby: zápis mimo hranice (OOBW) a použití bezplatně (UAF), vyhrál 40,000 4 $ a XNUMX Master of Pwn bodů.
Z dalších útoků, které by mohly být úspěšně provedeny, můžeme zmínit následující:
- 100 tisíc dolarů za vývoj exploitu pro Firefox, který umožnil otevřením speciálně navržené stránky obejít izolaci sandboxu a spustit kód v systému.
- 40,000 XNUMX $ za předvedení exploitu, který využívá přetečení vyrovnávací paměti v Oracle Virtualbox k odhlášení hosta.
- 50,000 XNUMX $ za spuštění Apple Safari (přetečení vyrovnávací paměti).
- 450,000 XNUMX $ za hacky Microsoft Teams (různé týmy předvedly tři hacky s odměnou
- 150,000 XNUMX $ každý).
- 80,000 40,000 $ (dva bonusy 11 XNUMX $) k využití výhod přetečení vyrovnávací paměti a eskalace oprávnění v Microsoft Windows XNUMX.
- 80,000 40,000 $ (dva bonusy 11 XNUMX $) za využití chyby v ověřovacím kódu přístupu ke zvýšení vašich oprávnění v Microsoft Windows XNUMX.
- 40 11 $ za využití přetečení celého čísla ke zvýšení vašich oprávnění v systému Microsoft Windows XNUMX.
- 40,000 11 $ za zneužití zranitelnosti Use-After-Free v Microsoft Windows XNUMX.
- 75,000 3 $ za demonstraci útoku na informační a zábavní systém vozu Tesla Model XNUMX. Exploit využíval přetečení vyrovnávací paměti a bezplatné dvojité chyby spolu s dříve známou technikou obcházení sandboxu.
V neposlední řadě je zmíněno, že během dvou soutěžních dnů došlo i přes tři povolené pokusy o hacking k následujícím selháním: Microsoft Windows 11 (6 úspěšných hacků a 1 neúspěšný), Tesla (1 úspěšný a 1 neúspěšný ) a Microsoft Teams (3 úspěšné hacky a 1 neúspěšný). V tomto roce nebyly žádné žádosti o předvedení exploitů v prohlížeči Google Chrome.
Konečně pokud se o tom chcete dozvědět více, Podrobnosti si můžete ověřit v původním příspěvku na následující odkaz.