Pwn2Own 2033 Vancouver-en ospatu zen
Duela gutxi emaitzak lehiaketaren hiru egunak Pwn2Own 2023, Vancouver-en CanSecWest konferentziaren barruan urtero egiten dena.
Edizio berri honetan ahuleziak ustiatzeko teknikak funtzionatzen dutela frogatu da aurretik ezezaguna Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint eta Tesla ibilgailuetarako.
Guztira 27 eraso arrakastatsu frogatu ziren aurretik ezezagunak diren ahuleziak ustiatzen zituena.
Pwn2Own ezagutzen ez dutenentzat, jakin behar duzu Trend Micro Zero-Day Initiative (ZDI) erakundeak antolatutako hacking-ekitaldi global bat dela, 2005az geroztik egiten ari dena. Bertan, hacking talde onenetako batzuk helburu teknologikoen aurka lehiatzen dira. lehenetsiak eta elkarren artean, 'zero-egun' ustiapenak erabiliz.
Eliteko hacker sari-ehiztari eta segurtasun-ikertzaile hauek denbora-muga zorrotza dute kasuan kasuko helburuak arrakastaz 'pwn' egiteko. Arrakasta saritzen da bai Masters of Pwn sailkapenean puntuak gehitzearekin, eta Pwn2Own-i eskerrak ez dira gutxietsi behar, izaera lehiakorra sendoa baita hemen, baita ordainsari ikusgarriak ere. Guztira, Pwn2Own Vancouver 2023-k milioi dolar baino gehiagoko sari-funtsa du.
Erortzen lehena Adobe Reader izan zen negozio-aplikazioen kategorian Abdul Aziz Haririren ondoren (@abdhariri) Haboob SA-k kate bat erabili zuen ustiatzen 6 akatsen kate logiko bat bideratuz, Sandbox-etik ihes egin zuten hainbat adabaki huts egin zituen eta macOS-en debekatutako APIen zerrenda saihestu zuen 50.000 $ irabazteko.
Lehiaketan lehertzeko bost saiakera arrakastatsu frogatu zituen orain arte ezezagunak diren ahulguneak Ubuntu mahaigaina, parte-hartzaile talde ezberdinek egina.
Arazoak memoriaren askapen bikoitzetik sortu ziren (30 $ hobaria), memoria sarbidea libre ondoren (30 $ hobaria), erakusleen kudeaketa okerra (30 $ hobaria). Bi demotan, dagoeneko ezagunak, baina konpondu gabeak, ahultasunak erabili ziren (15 mila dolarreko bi hobari). Horrez gain, Ubuntu erasotzeko seigarren saiakera egin zen, baina ustiapenak ez zuen funtzionatu.
Oraindik ez dira arazoaren osagaiei buruz jakinarazi, lehiaketaren baldintzen arabera, frogatutako zero eguneko ahultasun guztiei buruzko informazio zehatza 90 egunen buruan argitaratuko da, fabrikatzaileek ahuleziak kentzeko eguneraketak prestatzeko ematen direnak.
Beste demoei buruz Eraso arrakastatsuen artean honako hauek aipatzen dira:
- Hiru Oracle VirtualBox-en hackek Memoria Sarbideek eragindako ahultasunak ustiatzen dituzte Doako Ahultasunen, Buffer Overflow eta Read Out Buffer (40 $ bi hobari eta 80 $ ostalari aldean kodea exekutatzeko aukera ematen zuten 3 ahultasun ustiatzeagatik).
- Apple-ren macOS Elevation (40 $ Premium).
- Microsoft Windows 11-ren bi eraso pribilegioak handitzeko aukera eman zieten (30.000 $ hobariak).
- Ahuleziak memoria librearen ondorengo sarbideak eta sarreraren baliozkotze okerrak eragin zituen.
- Microsoft Teams-en aurkako erasoa ustiapenean bi akatsen kate bat erabiliz (75,000 $ premium).
- Microsoft SharePoint-en aurkako erasoa (100,000 $ hobaria).
- Eraso ezazu VMWare lan-estazioan doako memorian eta hasieratu gabeko aldagai batean sartuz (80 $ premium).
- Kodearen exekuzioa Adobe Reader-en edukia errendatzean. 6 erroreko kate konplexua erabili zen erasotzeko, harea-kutxa saihesteko eta debekatutako APIra sartzeko (50,000 $ saria).
Tesla autoen infotainment sistemaren eta Tesla Gatewayren aurkako bi eraso, root sarbidea lortzeko aukera emanez. Lehenengo saria 100,000 $ eta Tesla Model 3 auto bat izan zen, eta bigarren saria 250,000 $.
Erasoek aplikazioen, arakatzaileen eta sistema eragileen azken bertsio egonkorrak erabili zituzten eskuragarri dauden eguneratze guztiekin eta ezarpen lehenetsiekin. Ordaindutako kalte-ordainaren zenbatekoa 1,035,000 $ eta auto bat izan zen. Puntu gehien lortu zituen taldeak 530,000 $ eta Tesla Model 3 bat jaso zituen.
Azkenean, horri buruz gehiago jakiteko interesa baduzu, xehetasunak kontsultatu ditzakezu Hurrengo estekan.
Idatzi lehenengo iruzkina