Pwn2Own 2033 વાનકુવરમાં યોજાઈ હતી
તાજેતરમાં ના પરિણામો સ્પર્ધાના ત્રણ દિવસ Pwn2Own 2023, જે વાનકુવરમાં CanSecWest કોન્ફરન્સના ભાગ રૂપે વાર્ષિક ધોરણે યોજવામાં આવે છે.
આ નવી આવૃત્તિમાં નબળાઈઓનું શોષણ કરવા માટે કામ કરવાની તકનીકો દર્શાવવામાં આવી છે ઉબુન્ટુ, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint અને Tesla વાહનો માટે અગાઉ અજાણ્યા હતા.
કુલ 27 સફળ હુમલાઓનું નિદર્શન કરવામાં આવ્યું હતું જે અગાઉની અજાણી નબળાઈઓનું શોષણ કરે છે.
Pwn2Own થી અજાણ્યા લોકો માટે, તમારે જાણવું જોઈએ કે આ એક વૈશ્વિક હેકિંગ ઈવેન્ટ છે જેનું આયોજન Trend Micro Zero-Day Initiative (ZDI) દ્વારા કરવામાં આવે છે, જે 2005 થી થઈ રહી છે. તેમાં, કેટલીક શ્રેષ્ઠ હેકિંગ ટીમો તકનીકી લક્ષ્યો સામે સ્પર્ધા કરે છે. ડિફોલ્ટ અને એકબીજા, 'ઝીરો-ડે' શોષણનો ઉપયોગ કરીને.
આ ચુનંદા હેકર બક્ષિસ શિકારીઓ અને સુરક્ષા સંશોધકો પાસે પ્રશ્નમાં રહેલા લક્ષ્યોને સફળતાપૂર્વક 'pwn' કરવા માટે કડક સમય મર્યાદા હોય છે. માસ્ટર્સ ઓફ Pwn લીડરબોર્ડમાં પોઈન્ટ ઉમેરવામાં આવે અને Pwn2Own માટે પ્રશંસાને ઓછો આંકવામાં ન આવે કારણ કે અહીં સ્પર્ધાત્મક પ્રકૃતિ મજબૂત છે, તેમજ પ્રભાવશાળી ચૂકવણીઓ બંને સાથે સફળતાને વળતર આપવામાં આવે છે. કુલ મળીને, Pwn2Own Vancouver 2023 પાસે $1 મિલિયનથી વધુનું ઇનામ ભંડોળ છે.
પ્રથમ પડવું એડોબ રીડર હતું અબ્દુલ અઝીઝ હરીરી પછી બિઝનેસ એપ્લિકેશન કેટેગરીમાં (@અબધારી) હબૂબ એસએ ની સાંકળનો ઉપયોગ કર્યો નબળાઈઓ 6-બગ લોજિક ચેઇનને લક્ષ્ય બનાવવું જેણે સેન્ડબોક્સમાંથી છટકી ગયેલા બહુવિધ નિષ્ફળ પેચોનો દુરુપયોગ કર્યો અને $50.000 જીતવા માટે macOS માં પ્રતિબંધિત API ની સૂચિને બાયપાસ કરી.
સ્પર્ધામાં વિસ્ફોટ કરવાના પાંચ સફળ પ્રયાસો દર્શાવ્યા માં અગાઉ અજ્ઞાત નબળાઈઓ ઉબુન્ટુ ડેસ્કટોપ, સહભાગીઓની વિવિધ ટીમો દ્વારા બનાવવામાં આવે છે.
મેમરીના ડબલ મુક્ત થવાને કારણે સમસ્યાઓ ઊભી થઈ હતી ($30k બોનસ), ધ ફ્રી પછી મેમરી એક્સેસ ($30k બોનસ), ખોટો પોઇન્ટર હેન્ડલિંગ ($30k બોનસ). બે ડેમોમાં, પહેલેથી જ જાણીતા છે, પરંતુ નિશ્ચિત નથી, નબળાઈઓનો ઉપયોગ કરવામાં આવ્યો હતો (15 હજાર ડોલરના બે બોનસ). વધુમાં, ઉબુન્ટુ પર હુમલો કરવાનો છઠ્ઠો પ્રયાસ કરવામાં આવ્યો હતો, પરંતુ શોષણ કામ કરતું ન હતું.
સમસ્યાના ઘટકો વિશે હજી સુધી જાણ કરવામાં આવી નથી, સ્પર્ધાની શરતો અનુસાર, તમામ પ્રદર્શિત શૂન્ય દિવસની નબળાઈઓ વિશેની વિગતવાર માહિતી 90 દિવસ પછી જ પ્રકાશિત કરવામાં આવશે, જે નબળાઈઓને દૂર કરવા માટે ઉત્પાદકો દ્વારા અપડેટ્સની તૈયારી માટે આપવામાં આવે છે.
અન્ય ડેમો વિશે સફળ હુમલાઓનો ઉલ્લેખ નીચે મુજબ છે:
- ત્રણ ઓરેકલ વર્ચ્યુઅલબોક્સ હેક્સ ફ્રી નબળાઈઓ, બફર ઓવરફ્લો અને રીડ આઉટ ઓફ બફર પછી મેમરી એક્સેસને કારણે થતી નબળાઈઓનું શોષણ કરે છે (40 નબળાઈઓનું શોષણ કરવા માટે બે $80k બોનસ અને $3k બોનસ જે હોસ્ટ બાજુ પર કોડના અમલને મંજૂરી આપે છે).
- Appleનું macOS એલિવેશન ($40K પ્રીમિયમ).
- માઇક્રોસોફ્ટ વિન્ડોઝ 11 પર બે હુમલાઓ કે જેણે તેમને તેમના વિશેષાધિકારો ($30.000 બોનસ) વધારવાની મંજૂરી આપી.
- નબળાઈઓ પોસ્ટ-ફ્રી મેમરી એક્સેસ અને ખોટી ઇનપુટ માન્યતાને કારણે થઈ હતી.
- શોષણ ($75,000 પ્રીમિયમ) માં બે ભૂલોની સાંકળનો ઉપયોગ કરીને માઇક્રોસોફ્ટ ટીમ્સ પર હુમલો.
- Microsoft SharePoint પર હુમલો ($100,000 બોનસ).
- મફત મેમરી અને બિનપ્રારંભિક ચલ ($80 પ્રીમિયમ) ઍક્સેસ કરીને VMWare વર્કસ્ટેશન પર હુમલો.
- Adobe Reader માં સામગ્રી રેન્ડર કરતી વખતે કોડનો અમલ. 6 ભૂલોની જટિલ સાંકળનો ઉપયોગ હુમલો કરવા, સેન્ડબોક્સને બાયપાસ કરવા અને પ્રતિબંધિત API ($50,000 ઇનામ)ને ઍક્સેસ કરવા માટે કરવામાં આવ્યો હતો.
ટેસ્લા કાર ઇન્ફોટેનમેન્ટ સિસ્ટમ અને ટેસ્લા ગેટવે પર બે હુમલા, રૂટ એક્સેસ મેળવવા માટે પરવાનગી આપે છે. પ્રથમ ઇનામ $100,000 અને ટેસ્લા મોડલ 3 કાર અને બીજું ઇનામ $250,000 હતું.
હુમલામાં તમામ ઉપલબ્ધ અપડેટ્સ અને ડિફોલ્ટ સેટિંગ્સ સાથે એપ્લિકેશન, બ્રાઉઝર્સ અને ઓપરેટિંગ સિસ્ટમ્સના નવીનતમ સ્થિર સંસ્કરણોનો ઉપયોગ કરવામાં આવ્યો હતો. વળતરની કુલ રકમ $1,035,000 અને એક કાર હતી. સૌથી વધુ પોઈન્ટ ધરાવતી ટીમને $530,000 અને ટેસ્લા મોડલ 3 મળ્યા.
અંતે, જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તો તમે વિગતોનો સંપર્ક કરી શકો છો નીચેની કડીમાં