તાજેતરમાં તેઓએ પોતાને ઓળખાવ્યા એક બ્લોગ પોસ્ટ દ્વારા Pwn2Own 2022 સ્પર્ધાના ત્રણ દિવસના પરિણામો, જે કેનસેકવેસ્ટ કોન્ફરન્સના ભાગ રૂપે વાર્ષિક ધોરણે યોજવામાં આવે છે.
આ વર્ષની આવૃત્તિમાં નબળાઈઓનું શોષણ કરવા માટે કામ કરવાની તકનીકો દર્શાવવામાં આવી છે અગાઉ અજાણ્યું ઉબુન્ટુ ડેસ્કટોપ, વર્ચ્યુઅલબોક્સ, સફારી, વિન્ડોઝ 11, માઇક્રોસોફ્ટ ટીમ્સ અને ફાયરફોક્સ માટે. કુલ, 25 સફળ હુમલાઓ દર્શાવવામાં આવ્યા હતા અને ત્રણ પ્રયાસો નિષ્ફળતામાં સમાપ્ત થયા હતા. હુમલામાં તમામ ઉપલબ્ધ અપડેટ્સ સાથે અને ડિફોલ્ટ સેટિંગ્સમાં એપ્લિકેશન, બ્રાઉઝર્સ અને ઓપરેટિંગ સિસ્ટમ્સના નવીનતમ સ્થિર સંસ્કરણોનો ઉપયોગ કરવામાં આવ્યો હતો. ચૂકવવામાં આવેલ મહેનતાણુંની કુલ રકમ US$1.155.000 હતી.
2 સુધીમાં Pwn2022Own વાનકુવર ચાલી રહ્યું છે, અને હરીફાઈની 15મી વર્ષગાંઠ પહેલાથી જ પ્રદર્શન પર કેટલાક અવિશ્વસનીય સંશોધનો જોઈ ચૂક્યા છે. ઇવેન્ટના અપડેટ પરિણામો, છબીઓ અને વિડિઓઝ માટે આ બ્લોગ સાથે જોડાયેલા રહો. અમે તે બધું અહીં પોસ્ટ કરીશું, જેમાં નવીનતમ માસ્ટર ઓફ Pwn લીડરબોર્ડનો સમાવેશ થાય છે.
સ્પર્ધા અગાઉની અજાણી નબળાઈઓનું શોષણ કરવાના પાંચ સફળ પ્રયાસો દર્શાવ્યા ઉબુન્ટુ ડેસ્કટોપમાં, સહભાગીઓની વિવિધ ટીમો દ્વારા બનાવવામાં આવે છે.
એ એનાયત કરવામાં આવ્યો હતો ઉબુન્ટુ ડેસ્કટોપમાં સ્થાનિક વિશેષાધિકાર વૃદ્ધિ દર્શાવવા માટે $40,000 પુરસ્કાર બે બફર ઓવરફ્લો અને ડબલ રીલીઝ મુદ્દાઓનો ઉપયોગ કરીને. ચાર બોનસ, દરેક $40,000 ની કિંમતના, તે રિલીઝ થયા પછી મેમરી એક્સેસ સંબંધિત નબળાઈઓનો ઉપયોગ કરીને વિશેષાધિકાર વૃદ્ધિ દર્શાવવા માટે ચૂકવવામાં આવ્યા હતા (યુઝ-આફ્ટર-ફ્રી).
સફળતા – કીથ યેઓએ (@kyeojy) ઉબુન્ટુ ડેસ્કટોપ પર ઉપયોગ પછી-મુક્ત શોષણ માટે $40K અને 4 માસ્ટર ઓફ Pwn પોઈન્ટ જીત્યા.
સમસ્યાના કયા ઘટકોની હજુ સુધી જાણ કરવામાં આવી નથી, સ્પર્ધાની શરતો અનુસાર, તમામ પ્રદર્શિત 0-દિવસની નબળાઈઓની વિગતવાર માહિતી 90 દિવસ પછી જ પ્રકાશિત કરવામાં આવશે, જે નબળાઈઓને દૂર કરવા ઉત્પાદકો દ્વારા અપડેટ્સની તૈયારી માટે આપવામાં આવે છે.
સફળતા - દિવસ 2 ના અંતિમ પ્રયાસમાં, નોર્થવેસ્ટર્ન યુનિવર્સિટીની ટ્યુટેલરી ટીમના ઝેનપેંગ લિન (@માર્કક_), યુઇકી ચેન (@લેવિસ_ચેન_), અને ઝીન્યુ ઝિંગ (@xingxinyu) એ સફળતાપૂર્વક યુઝ આફ્ટર ફ્રી બગનું નિદર્શન કર્યું જે Ub માં વિશેષાધિકારની ઉન્નતિ તરફ દોરી ગયું ડેસ્કટોપ. આ તમને $40,000 અને 4 માસ્ટર ઓફ Pwn પોઈન્ટ્સ મેળવે છે.
સી સિક્યોરિટી (security.sea.com) ની ટીમ ઓરકા ઉબુન્ટુ ડેસ્કટોપ પર 2 ભૂલો ચલાવવામાં સક્ષમ હતી: એક આઉટ-ઓફ-બાઉન્ડ્સ રાઈટ (OOBW) અને ઉપયોગ-આફ્ટર-ફ્રી (UAF), $40,000 અને Pwn પોઈન્ટ્સના 4 માસ્ટર કમાણી .
સફળતા: ટીમ ઓર્કા ઓફ સી સિક્યુરિટી (security.sea.com) ઉબુન્ટુ ડેસ્કટોપ પર 2 બગ્સ ચલાવવામાં સક્ષમ હતી: એક આઉટ-ઓફ-બાઉન્ડ્સ રાઈટ (OOBW) અને ઉપયોગ-આફ્ટર-ફ્રી (UAF), જીતીને $40,000 અને 4 માસ્ટર ઓફ Pwn પોઈન્ટ.
અન્ય હુમલાઓમાંથી જે સફળતાપૂર્વક હાથ ધરવામાં આવી શકે છે, અમે નીચેનાનો ઉલ્લેખ કરી શકીએ છીએ:
- ફાયરફોક્સ માટેના શોષણના વિકાસ માટે 100 હજાર ડોલર, જે ખાસ ડિઝાઇન કરેલ પૃષ્ઠ ખોલીને, સેન્ડબોક્સના અલગતાને અટકાવવા અને સિસ્ટમમાં કોડ ચલાવવાની મંજૂરી આપે છે.
- મહેમાનને લોગ આઉટ કરવા માટે ઓરેકલ વર્ચ્યુઅલબોક્સમાં બફર ઓવરફ્લોનો લાભ લે તેવા શોષણનું પ્રદર્શન કરવા માટે $40,000.
- Apple Safari (બફર ઓવરફ્લો) ચલાવવા માટે $50,000.
- માઇક્રોસોફ્ટ ટીમ્સ હેક્સ માટે $450,000 (વિવિધ ટીમોએ ઇનામ સાથે ત્રણ હેક્સનું પ્રદર્શન કર્યું
- $150,000 દરેક).
- Microsoft Windows 80,000 માં બફર ઓવરફ્લો અને વિશેષાધિકાર વૃદ્ધિનો લાભ લેવા માટે $40,000 (બે $11 બોનસ).
- $80,000 (બે $40,000 બોનસ) Microsoft Windows 11 માં તમારા વિશેષાધિકારોને વધારવા માટે એક્સેસ વેરિફિકેશન કોડમાં બગનો ઉપયોગ કરવા માટે.
- Microsoft Windows 40 માં તમારા વિશેષાધિકારોને વધારવા માટે પૂર્ણાંક ઓવરફ્લોનો ઉપયોગ કરવા માટે $11k.
- Microsoft Windows 40,000 માં ઉપયોગ પછી-મુક્ત નબળાઈનો ઉપયોગ કરવા માટે $11.
- ટેસ્લા મોડલ 75,000 કારની ઇન્ફોટેનમેન્ટ સિસ્ટમ પર હુમલો દર્શાવવા માટે $3. અગાઉ જાણીતી સેન્ડબોક્સ બાયપાસ તકનીક સાથે બફર ઓવરફ્લો અને ફ્રી ડબલ બગ્સનો ઉપયોગ કરવામાં આવ્યો હતો.
છેલ્લું પરંતુ ઓછામાં ઓછું, એ ઉલ્લેખ કરવામાં આવ્યો છે કે સ્પર્ધાના બે દિવસમાં ત્રણ હેકિંગ પ્રયાસોની મંજૂરી હોવા છતાં જે નિષ્ફળતાઓ આવી છે, તે નીચે મુજબ છે: Microsoft Windows 11 (6 સફળ હેક્સ અને 1 નિષ્ફળ), ટેસ્લા (1 હેક સફળ અને 1 નિષ્ફળ ) અને માઈક્રોસોફ્ટ ટીમ્સ (3 સફળ હેક્સ અને 1 નિષ્ફળ). આ વર્ષે Google Chrome માં શોષણ દર્શાવવા માટે કોઈ વિનંતીઓ નથી.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે મૂળ પોસ્ટમાં વિગતો ચકાસી શકો છો નીચેની કડી.