Dans Pwn2Own 2022, 5 vulnérabilités ont été démontrées dans Ubuntu

Récemment ils se sont fait connaître via un article de blog résultats des trois jours du concours Pwn2Own 2022, qui a lieu chaque année dans le cadre de la conférence CanSecWest.

Dans l'édition de cette année il a été démontré que les techniques fonctionnent pour exploiter les vulnérabilités inconnu auparavant pour Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams et Firefox. Au total, 25 attaques réussies ont été démontrées et trois tentatives se sont soldées par un échec. Les attaques ont utilisé les dernières versions stables des applications, des navigateurs et des systèmes d'exploitation avec toutes les mises à jour disponibles et dans les paramètres par défaut. Le montant total des rémunérations versées s'élevait à 1.155.000 XNUMX XNUMX USD.

Pwn2Own Vancouver d'ici 2022 est en cours, et le 15e anniversaire du concours a déjà vu des recherches incroyables exposées. Restez à l'écoute de ce blog pour les résultats mis à jour, les images et les vidéos de l'événement. Nous publierons tout cela ici, y compris le dernier classement Master of Pwn.

concurrence démontré cinq tentatives réussies pour exploiter des vulnérabilités jusque-là inconnues dans Ubuntu Desktop, réalisé par différentes équipes de participants.

s'est vu attribuer un Récompense de 40,000 XNUMX $ pour la démonstration de l'élévation locale des privilèges dans Ubuntu Desktop en exploitant deux problèmes de débordement de tampon et de double libération. Quatre bonus, d'une valeur de 40,000 XNUMX $ chacun, ont été payés pour démontrer l'élévation des privilèges en exploitant les vulnérabilités liées à l'accès à la mémoire après sa sortie (Use-After-Free).

SUCCÈS - Keith Yeo ( @kyeojy ) a remporté 40 4 $ et XNUMX points Master of Pwn pour un exploit Use-After-Free sur Ubuntu Desktop.

Quels composants du problème ne sont pas encore signalés, selon les termes du concours, des informations détaillées sur toutes les vulnérabilités 0-day démontrées ne seront publiées qu'après 90 jours, qui sont données pour la préparation de mises à jour par les fabricants pour supprimer les vulnérabilités.

SUCCÈS - Lors de la dernière tentative du jour 2, Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) et Xinyu Xing (@xingxinyu) de l'équipe TUTELARY de l'Université Northwestern ont démontré avec succès un bogue Use After Free qui a conduit à l'élévation des privilèges dans Ubuntu Bureau. Cela vous rapporte 40,000 4 $ et XNUMX points Master of Pwn.

L'équipe Orca de Sea Security (security.sea.com) a pu exécuter 2 bogues sur Ubuntu Desktop : une écriture hors limites (OOBW) et une utilisation après libération (UAF), gagnant 40,000 4 $ et XNUMX points Master of Pwn .

SUCCÈS : L'équipe Orca de Sea Security (security.sea.com) a pu exécuter 2 bogues sur Ubuntu Desktop : une écriture hors limites (OOBW) et une utilisation après libération (UAF), remportant 40,000 4 $ et XNUMX maîtres de Pwn points.

Parmi les autres attaques qui pourraient être menées avec succès, on peut citer les suivantes :

  • 100 mille dollars pour le développement d'un exploit pour Firefox, qui permettait, en ouvrant une page spécialement conçue, de contourner l'isolement du bac à sable et d'exécuter du code dans le système.
  • 40,000 XNUMX $ pour la démonstration d'un exploit qui tire parti d'un dépassement de mémoire tampon dans Oracle Virtualbox pour déconnecter un invité.
  • 50,000 XNUMX $ pour l'exécution d'Apple Safari (débordement de tampon).
  • 450,000 XNUMX $ pour les hacks de Microsoft Teams (différentes équipes ont démontré trois hacks avec une récompense de
  • 150,000 XNUMX $ chacun).
  • 80,000 40,000 $ (deux bonus de 11 XNUMX $) pour profiter des débordements de mémoire tampon et de l'élévation des privilèges dans Microsoft Windows XNUMX.
  • 80,000 40,000 $ (deux bonus de 11 XNUMX $) pour exploiter un bogue dans le code de vérification d'accès afin d'élever vos privilèges dans Microsoft Windows XNUMX.
  • 40 11 $ pour exploiter le débordement d'entier afin d'élever vos privilèges dans Microsoft Windows XNUMX.
  • 40,000 11 $ pour l'exploitation d'une vulnérabilité Use-After-Free dans Microsoft Windows XNUMX.
  • 75,000 3 $ pour avoir démontré une attaque contre le système d'infodivertissement d'une voiture Tesla Model XNUMX. L'exploit a utilisé un débordement de mémoire tampon et des doubles bugs gratuits, ainsi qu'une technique de contournement de bac à sable précédemment connue.

Enfin et surtout, il est mentionné que sur les deux jours de compétition les échecs survenus malgré les trois tentatives de piratage autorisées, sont les suivants : Microsoft Windows 11 (6 hacks réussis et 1 raté), Tesla (1 piratage réussi et 1 raté ) et Microsoft Teams (3 hacks réussis et 1 échec). Il n'y a eu aucune demande de démonstration d'exploits dans Google Chrome cette année.

Enfin si vous souhaitez en savoir plus, Vous pouvez vérifier les détails dans le message d'origine à le lien suivant.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.