Récemment les résultats de les trois jours de la compétition Pwn2Own 2021, organisé annuellement dans le cadre de la conférence CanSecWest.
Comme l'année précédente, les concours se sont déroulés virtuellement et les attaques ont été démontrées en ligne. Sur les 23 cibles, des techniques opérationnelles permettant d'exploiter des vulnérabilités jusque-là inconnues ont été démontrées pour Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams et Zoom.
Dans tous les cas, les dernières versions du logiciel ont été testées, y compris toutes les mises à jour disponibles. Le montant total des paiements s'élevait à un million deux cent mille dollars américains.
Dans la compétition, trois tentatives ont été faites pour exploiter les vulnérabilités d'Ubuntu dont les première et deuxième tentatives ont été comptées et les attaquants ont pu démontrer l'élévation des privilèges locaux en exploitant des vulnérabilités jusque-là inconnues liées aux débordements de tampon et à la double libération de mémoire (dans lesquels les composants problématiques n'ont pas encore été signalés et les développeurs ont 90 jours pour corriger les bogues jusqu'à ce que les données soient divulguées).
Parmi ces vulnérabilités qui ont été démontrées pour Ubuntu, des primes de 30,000 XNUMX $ ont été versées.
La troisième tentative, faite par une autre équipe dans la catégorie des abus de privilèges locaux, il n'a été que partiellement réussi: l'exploit a fonctionné et a permis d'obtenir un accès root, mais l'attaque n'a pas été entièrement créditée, comme le bogue associé à la vulnérabilité était déjà catalogué et il était connu des développeurs Ubuntu et une mise à jour avec un correctif était en cours de préparation.
Aussi une attaque réussie a été démontrée pour les navigateurs dotés de la technologie Chromium: Google Chrome et Microsoft Edge, parmi ceux-ci, un bonus de 100,000 $ a été payé pour la création d'un exploit permettant d'exécuter du code lorsque vous ouvrez une page spécialement conçue dans Chrome et Edge (un exploit universel a été créé pour les deux navigateurs).
Dans le cas de cette vulnérabilité, il est mentionné que la correction devrait être publiée dans les prochaines heures, alors que l'on sait seulement que la vulnérabilité est présente dans le processus responsable du traitement du contenu Web (moteur de rendu).
En revanche, 200 mille dollars ont été payés en Zoom et il a été montré que l'application Zoom peut être piratée en exécutant du code envoyer un message à un autre utilisateur, aucune action du destinataire n'est nécessaire. L'attaque a utilisé trois vulnérabilités dans Zoom et une dans le système d'exploitation Windows.
Un bonus de 40,000 $ a également été accordé pour trois opérations Windows 10 réussies dans lesquelles des vulnérabilités liées au débordement d'entiers, à l'accès à la mémoire déjà libérée et aux conditions de concurrence qui permettaient d'obtenir les privilèges SYSTEM ont été démontrées).
Une autre tentative qui a été montré, mais dans ce cas échec était pour VirtualBox, qui est resté dans les récompenses avec Firefox, VMware ESXi, le client Hyper-V, MS Office 365, MS SharePoint, MS RDP et Adobe Reader qui n'ont pas été réclamés.
Il n'y avait pas non plus de personnes disposées à démontrer le piratage du système d'information automobile Tesla, malgré le prix de 600 $ plus la voiture Tesla Model 3.
Des autres récompenses qui ont été attribués:
- 200 XNUMX $ pour décrypter Microsoft Exchange (en contournant l'authentification et l'élévation des privilèges locaux sur le serveur pour obtenir les droits d'administrateur). Une autre équipe a vu un autre exploit réussi, mais le deuxième prix n'a pas été payé car la première équipe a déjà utilisé les mêmes bogues.
- 200 mille dollars de piratage d'équipements Microsoft (exécution de code sur le serveur).
- 100 $ pour l'opération Apple Safari (débordement d'entier dans Safari et débordement de tampon dans le noyau macOS pour éviter le sandboxing et exécuter du code au niveau du noyau).
- 140,000 XNUMX pour le piratage de Parallels Desktop (déconnexion de la machine virtuelle et exécution du code sur le système principal). L'attaque a été menée en exploitant trois vulnérabilités différentes: fuite de mémoire non initialisée, débordement de pile et débordement d'entier.
- Deux prix de 40 $ pour les hacks de Parallels Desktop (erreur logique et dépassement de mémoire tampon qui ont permis au code de s'exécuter sur un système d'exploitation externe via des actions au sein d'une machine virtuelle).