Pwn2Own 2020 wurde aufgrund von Covid-19 online gestellt und Hacks wurden für Ubuntu, Virtualbox und mehr gezeigt

Darkcrizt

4 Minuten

Pwn2Own ist ein Hacking-Wettbewerb findet jährlich auf der CanSecWest-Sicherheitskonferenz ab 2007 statt. Die Teilnehmer stehen vor der Herausforderung, Software und mobile Geräte zu nutzen weit verbreitet bei bisher unbekannten Schwachstellen.

Die Gewinner des Wettbewerbs erhalten das von ihnen genutzte Gerät, einen Geldpreis und einen „MastersWir feiern das Jahr seines Sieges. Der Name "Pwn2Own" leitet sich von der Tatsache ab, dass Teilnehmer das Gerät "pwn" oder hacken müssen, um es zu "besitzen" oder zu gewinnen.

Der Wettbewerb Pwn2Own wird verwendet, um die Schwachstelle weit verbreiteter Geräte und Software zu demonstrieren und es bietet auch einen Kontrollpunkt für die Fortschritte bei der Sicherheit seit dem Vorjahr.

Über Pwn2Own 2020

In dieser neuen Ausgabe von Pwn2Own 2020 in diesem Jahr Wettbewerbe wurden virtuell abgehalten und Angriffe wurden online gezeigtaufgrund der Probleme, die durch die Ausbreitung des Cornonavirus (Covid-19) verursacht wurden, Dies ist das erste Mal, dass Ihr Veranstalter Zero-Day-Initiative (ZDI), haben beschlossen, die Veranstaltung zu organisieren Ermöglichen, dass die Teilnehmer demonstrieren entfernt seine Heldentaten.

Während des Wettbewerbs Es wurden verschiedene Arbeitstechniken vorgestellt, um Schwachstellen auszunutzen bisher unbekannt in Ubuntu Desktop (Linux Kernel), Windows, MacOS, Safari, VirtualBox und Adobe Reader.

Der Gesamtbetrag der Zahlungen belief sich auf 270 Tausend Dollar (Der Gesamtpreispool betrug über 4 Millionen US-Dollar).

Zusammenfassend die Ergebnisse von zwei Tagen des Wettbewerbs Pwn2Own 2020, das jährlich auf der CanSecWest-Konferenz stattfindet, sieht wie folgt aus:

    • Am ersten Tag von Pwn2Own 2020 ein Team des Georgia Software and Security Lab Tech-Systeme (@SSLab_Gatech) Safari-Hack mit Eskalation von Berechtigungen auf MacOS-Kernel-Ebene und starten Sie den Rechner mit Root-Rechten. Die Angriffskette umfasste sechs Sicherheitslücken und ermöglichte es dem Team, 70,000 US-Dollar zu verdienen.
    • Während der Veranstaltung Manfred Paul von "RedRocket" war dafür verantwortlich, die Eskalation lokaler Berechtigungen in Ubuntu Desktop zu demonstrieren durch die Ausnutzung einer Sicherheitsanfälligkeit im Linux-Kernel, die mit einer falschen Überprüfung der Eingabewerte verbunden ist. Dies führte dazu, dass er einen Preis von 30 US-Dollar gewann.
    • Auch Die Demonstration bestand darin, eine Gastumgebung in VirtualBox zu belassen und Code mit den Rechten eines Hypervisors auszuführenDurch die Ausnutzung zweier Schwachstellen: die Fähigkeit, Daten aus einem Bereich außerhalb des zugewiesenen Puffers zu lesen, und einen Fehler bei der Arbeit mit nicht initialisierten Variablen betrug der Preis für den Nachweis dieses Fehlers 40 US-Dollar. Außerhalb des Wettbewerbs demonstrierten Vertreter der Zero Day Initiative einen weiteren VirtualBox-Trick, der den Zugriff auf das Host-System durch Manipulationen in der Gastumgebung ermöglicht.

  • Zwei Demonstrationen von Eskalation lokaler Berechtigungen in Windows durch Ausnutzen von Sicherheitslücken das führte zum Zugang zu einem bereits freigegebenen Speicherbereich, mit dem zwei Preise von jeweils 40 Dollar vergeben wurden.
  • Erhalten Sie Administratorzugriff in Windows, wenn Sie ein PDF-Dokument öffnen speziell in Adobe Reader entwickelt. Der Angriff beinhaltet Sicherheitslücken in Acrobat und im Windows-Kernel im Zusammenhang mit dem Zugriff auf bereits freigegebene Speicherbereiche (Preis von 50 US-Dollar).

Die verbleibenden nicht beanspruchten Nominierungen wurden für das Hacken von Chrome, Firefox, Edge, Microsoft Hyper-V-Client, Microsoft Office und Microsoft Windows RDP weitergeleitet.

Es gab auch einen Versuch, VMware Workstation zu hacken, aber der Versuch war erfolglos. Wie im letzten Jahr wurde das Hacken der meisten offenen Projekte (nginx, OpenSSL, Apache httpd) nicht in die Preiskategorien aufgenommen.

Separat können wir uns das Problem des Hackens von Tesla-Autoinformationssystemen ansehen.

Es gab keine Versuche, Tesla im Wettbewerb zu hacken.a, trotz der maximalen Prämie von 700 Tausend Dollar, aber Es gab separate Informationen zur Erkennung von DoS-Sicherheitslücken (CVE-2020-10558) in Tesla Model 3, mit dem eine speziell gestaltete Seite in den integrierten Autopilot-Benachrichtigungen des Browsers deaktiviert und der Betrieb von Komponenten wie Tachometer, Navigator, Klimaanlage, Navigationssystem usw. unterbrochen werden kann.

Quelle: https://www.thezdi.com/


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.