Vor kurzem Die ergebnisse von die drei Tage des Wettbewerbs Pwn2Own 2021, findet jährlich im Rahmen der CanSecWest-Konferenz statt.
Wie im Vorjahr fanden die Wettbewerbe virtuell statt und die Angriffe wurden online demonstriert. Von den 23 Zielen wurden Betriebstechniken zur Ausnutzung bisher unbekannter Sicherheitslücken für Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams und Zoom demonstriert.
In allen Fällen wurden die neuesten Softwareversionen einschließlich aller verfügbaren Updates getestet. Der Gesamtbetrag der Zahlungen betrug eine Million zweihunderttausend US-Dollar.
Im Wettbewerb, Es wurden drei Versuche unternommen, um Schwachstellen in Ubuntu auszunutzen davon wurden der erste und der zweite Versuch gezählt und Die Angreifer konnten die Eskalation lokaler Privilegien demonstrieren durch Ausnutzen bisher unbekannter Schwachstellen im Zusammenhang mit Pufferüberläufen und doppelter Speicherfreigabe (bei denen die Problemkomponenten noch nicht gemeldet wurden und die Entwickler 90 Tage Zeit haben, um Fehler zu beheben, bis die Daten veröffentlicht werden).
Von diesen Schwachstellen, die für Ubuntu demonstriert wurden, Es wurden Boni in Höhe von 30,000 USD ausgezahlt.
Der dritte Versuch eines anderen Teams in der Kategorie Missbrauch lokaler Privilegienwar es nur teilweise erfolgreich: der Exploit funktionierte und erlaubte Root-Zugriff, aber der Angriff wurde nicht vollständig gutgeschrieben, als Der mit der Sicherheitsanfälligkeit verbundene Fehler wurde bereits katalogisiert und es war Ubuntu-Entwicklern bekannt und ein Update mit einem Fix wurde vorbereitet.
auch Für Browser mit Chromium-Technologie wurde ein erfolgreicher Angriff demonstriert: Google Chrome und Microsoft Edge, davon wurde ein Bonus von 100,000 US-Dollar für die Erstellung eines Exploits gezahlt, mit dem Code ausgeführt werden kann, wenn Sie eine speziell gestaltete Seite in Chrome und Edge öffnen (für beide Browser wurde ein universeller Exploit erstellt).
Im Fall dieser Sicherheitsanfälligkeit wird erwähnt, dass die Korrektur voraussichtlich in den nächsten Stunden veröffentlicht wird, während nur bekannt ist, dass die Sicherheitsanfälligkeit in dem Prozess vorhanden ist, der für die Verarbeitung des Webinhalts (Renderer) verantwortlich ist.
Auf der anderen Seite wurden 200 Tausend Dollar in Zoom und bezahlt Es wurde gezeigt, dass die Zoom-App durch Ausführen von Code gehackt werden kann Senden einer Nachricht an einen anderen Benutzer, Keine Notwendigkeit für eine Aktion des Empfängers. Bei dem Angriff wurden drei Sicherheitslücken in Zoom und eine im Windows-Betriebssystem verwendet.
Ein Bonus von 40,000 US-Dollar wurde auch für drei erfolgreiche Windows 10-Vorgänge gewährt, bei denen Schwachstellen im Zusammenhang mit einem Ganzzahlüberlauf, dem bereits freigegebenen Speicherzugriff und den Rennbedingungen, unter denen SYSTEM-Berechtigungen erhalten wurden, nachgewiesen wurden.
Ein weiterer Versuch das wurde demonstriert, aber das in diesem Fall Es war nicht erfolgreich, es war für VirtualBox, die zusammen mit Firefox, VMware ESXi, Hyper-V-Client, MS Office 365, MS SharePoint, MS RDP und Adobe Reader, die nicht beansprucht wurden, im Rahmen der Belohnungen blieben.
Es gab auch keine Leute, die bereit waren, den Hack des Tesla-Autoinformationssystems zu demonstrieren, trotz des Preises von 600 US-Dollar plus des Tesla Model 3-Autos.
Von den anderen Auszeichnungen die vergeben wurden:
- 200 US-Dollar für die Entschlüsselung von Microsoft Exchange (Umgehung der Authentifizierung und der Eskalation lokaler Berechtigungen auf dem Server, um Administratorrechte zu erhalten). Einem anderen Team wurde ein weiterer erfolgreicher Exploit gezeigt, aber der zweite Preis wurde nicht ausgezahlt, da das erste Team bereits dieselben Fehler verwendet hatte.
- 200 Dollar für das Hacken von Microsoft-Geräten (Codeausführung auf dem Server).
- 100 US-Dollar für den Apple Safari-Betrieb (Integer-Überlauf in Safari und Pufferüberlauf im MacOS-Kernel, um Sandboxing zu vermeiden und Code auf Kernel-Ebene auszuführen).
- 140,000 für das Hacken von Parallels Desktop (Abmelden von der virtuellen Maschine und Ausführen des Codes auf dem Hauptsystem). Der Angriff wurde ausgeführt, indem drei verschiedene Sicherheitslücken ausgenutzt wurden: nicht initialisierter Speicherverlust, Stapelüberlauf und ganzzahliger Überlauf.
- Zwei Preise in Höhe von 40 US-Dollar für Parallels Desktop-Hacks (Logikfehler und Pufferüberlauf, durch den Code durch Aktionen in einer virtuellen Maschine auf einem externen Betriebssystem ausgeführt werden konnte).