Pwn2Own 2033 blev afholdt i Vancouver
nylig resultaterne af de tre dage af konkurrencen Pwn2Own 2023, som afholdes årligt som en del af CanSecWest-konferencen i Vancouver.
I denne nye udgave teknikker har vist sig at arbejde for at udnytte sårbarheder tidligere ukendt for Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint og til Tesla-køretøjer.
I alt 27 vellykkede angreb blev demonstreret der udnyttede hidtil ukendte sårbarheder.
For dem, der ikke er bekendt med Pwn2Own, skal du vide, at dette er en global hackerbegivenhed arrangeret af Trend Micro Zero-Day Initiative (ZDI), som har fundet sted siden 2005. I den konkurrerer nogle af de bedste hackerhold mod teknologiske mål standardindstillinger og hinanden ved at bruge 'zero-day' udnyttelser.
Disse elite hacker dusørjægere og sikkerhedsforskere har en streng tidsbegrænsning til med succes at 'pwn' de pågældende mål. Succes belønnes både med point, der føjes til en Masters of Pwn leaderboard, og ros til Pwn2Own skal ikke undervurderes, da konkurrencekarakteren er stærk her, såvel som imponerende udbetalinger. I alt har Pwn2Own Vancouver 2023 en præmiefond på over $1 million.
Den første til at falde var Adobe Reader i kategorien forretningsapplikationer efter Abdul Aziz Hariri (@abdhariri) fra Haboob SA brugte en kæde af exploits målrettet mod en logikkæde med 6 fejl, der misbrugte flere fejlslagne patches, der undslap Sandboxen og omgik en liste over forbudte API'er i macOS for at vinde $50.000.
I konkurrencen fem vellykkede forsøg på at eksplodere blev vist hidtil ukendte sårbarheder i Ubuntu Desktop, lavet af forskellige hold af deltagere.
Problemerne var forårsaget af dobbelt frigørelse af hukommelsen (en $30k bonus), den hukommelsesadgang efter fri (en $30k bonus), forkert pointerhåndtering (en $30k bonus). I to demoer, allerede kendte, men ikke faste, blev sårbarheder brugt (to bonusser på 15 tusind dollars). Derudover blev der gjort et sjette forsøg på at angribe Ubuntu, men udnyttelsen virkede ikke.
Om komponenterne i problemet er endnu ikke rapporteret, i henhold til konkurrencevilkårene vil detaljerede oplysninger om alle påviste nul dages sårbarheder først blive offentliggjort efter 90 dage, som er givet til forberedelse af opdateringer af producenter for at eliminere sårbarheder.
Om de andre demoer af vellykkede angreb nævnes følgende:
- Tre Oracle VirtualBox-hacks, der udnytter sårbarheder forårsaget af Memory Access After Free Vulnerabilities, Buffer Overflow og Read Out of Buffer (to $40 bonusser og $80 bonus for at udnytte 3 sårbarheder, der tillod udførelse af kode på værtssiden).
- Apples macOS Elevation ($40K Premium).
- To angreb på Microsoft Windows 11, der gjorde det muligt for dem at øge deres privilegier ($30.000 bonusser).
- Sårbarhederne var forårsaget af post-fri hukommelsesadgang og forkert inputvalidering.
- Angreb på Microsoft Teams ved hjælp af en kæde af to fejl i udnyttelsen ($75,000 præmie).
- Angreb på Microsoft SharePoint ($100,000 bonus).
- Angreb på VMWare-arbejdsstation ved at få adgang til ledig hukommelse og en ikke-initialiseret variabel ($80 præmie).
- Kodekørsel under gengivelse af indhold i Adobe Reader. En kompleks kæde af 6 fejl blev brugt til at angribe, omgå sandkassen og få adgang til den forbudte API ($50,000 præmie).
To angreb på Teslas bilinfotainmentsystem og Tesla Gateway, der giver mulighed for at få root-adgang. Førstepræmien var $100,000 og en Tesla Model 3-bil, og andenpræmien var $250,000.
Angrebene brugte de seneste stabile versioner af applikationer, browsere og operativsystemer med alle tilgængelige opdateringer og standardindstillinger. Det samlede erstatningsbeløb var $1,035,000 og en bil. Holdet med flest point modtog $530,000 og en Tesla Model 3.
Endelig, hvis du er interesseret i at vide mere om det, kan du se detaljerne I det følgende link.