हाल ही में का परिणाम प्रतियोगिता के तीन दिन पीडब्लूएन2ओन 2021, CanSecWest सम्मेलन के भाग के रूप में प्रतिवर्ष आयोजित किया जाता है।
पिछले वर्ष की तरह, प्रतियोगिता लगभग आयोजित की गई थी और हमलों का ऑनलाइन प्रदर्शन किया गया। 23 लक्ष्यों में से, उबंटू, विंडोज 10, क्रोम, सफारी, समानताएं डेस्कटॉप, माइक्रोसॉफ्ट एक्सचेंज, माइक्रोसॉफ्ट टीम्स, और ज़ूम के लिए पहले की अज्ञात कमजोरियों का फायदा उठाने के लिए परिचालन तकनीकों का प्रदर्शन किया गया है।
सभी मामलों में, नवीनतम सॉफ़्टवेयर संस्करणों का परीक्षण किया गया, जिसमें सभी उपलब्ध अपडेट भी शामिल हैं। भुगतान की कुल राशि एक लाख दो लाख अमेरिकी डॉलर थी।
प्रतियोगिता में, उबंटू में कमजोरियों का फायदा उठाने के लिए तीन प्रयास किए गए जिनमें से पहले और दूसरे प्रयास को गिना गया और हमलावर स्थानीय विशेषाधिकारों की वृद्धि का प्रदर्शन करने में सक्षम थे बफर ओवरफ्लो और डबल मेमोरी फ्रीजिंग (जिसमें समस्या घटक अभी तक रिपोर्ट नहीं किए गए हैं और डेवलपर्स को डेटा का खुलासा होने तक बग्स को ठीक करने के लिए 90 दिनों का समय दिया गया है) से संबंधित अज्ञात भेद्यता का दोहन करने के माध्यम से।
उबंटू के लिए प्रदर्शित की गई इन कमजोरियों में से, 30,000 डॉलर के बोनस का भुगतान किया गया।
तीसरा प्रयास, स्थानीय विशेषाधिकारों के दुरुपयोग की श्रेणी में एक और टीम द्वारा किया गया, यह केवल आंशिक रूप से सफल था: शोषण ने काम किया और रूट एक्सेस प्राप्त करने की अनुमति दी, लेकिन हमले को पूरी तरह से श्रेय नहीं दिया गया था, जबसे भेद्यता से जुड़े बग को पहले ही सूचीबद्ध कर लिया गया था और यह Ubuntu डेवलपर्स के लिए जाना जाता था और एक फिक्स के साथ एक अपडेट तैयार किया जा रहा था।
भी क्रोमियम तकनीक वाले ब्राउज़रों के लिए एक सफल हमले का प्रदर्शन किया गया है: Google Chrome और Microsoft Edge, इनमें से एक $ 100,000 का बोनस एक शोषण बनाने के लिए भुगतान किया गया था जो कोड को निष्पादित करने की अनुमति देता है जब आप क्रोम और एज में एक विशेष रूप से डिज़ाइन किए गए पृष्ठ को खोलते हैं (दोनों ब्राउज़रों के लिए एक सार्वभौमिक शोषण बनाया गया था)।
इस भेद्यता के मामले में, यह उल्लेख किया गया है कि सुधार अगले कुछ घंटों में प्रकाशित होने की उम्मीद है, जबकि यह केवल ज्ञात है कि भेद्यता उस प्रक्रिया में मौजूद है जो वेब सामग्री (रेंडरर) के प्रसंस्करण के लिए जिम्मेदार है।
दूसरी ओर, ज़ूम और यह दिखाया गया था कि जूम ऐप को कुछ कोड निष्पादित करके हैक किया जा सकता है दूसरे उपयोगकर्ता को संदेश भेजना, प्राप्तकर्ता द्वारा किसी भी कार्रवाई की कोई आवश्यकता नहीं है। हमले में ज़ूम और विंडोज ऑपरेटिंग सिस्टम में तीन कमजोरियों का इस्तेमाल किया गया था।
तीन सफल विंडोज 40,000 ऑपरेशन के लिए $ 10 का बोनस भी दिया गया था जिसमें पूर्णांक अतिप्रवाह से संबंधित कमजोरियां, पहले से मुक्त मेमोरी तक पहुंच, और सिस्टम की स्थिति प्राप्त करने की अनुमति देने वाली दौड़ की स्थिति का प्रदर्शन किया गया था)।
एक और प्रयास जो दिखाया गया था, लेकिन इस मामले में VirtualBox के लिए असफल था, जो फ़ायरफ़ॉक्स, वीएमवेयर ईएक्सआई, हाइपर-वी क्लाइंट, एमएस ऑफिस 365, एमएस SharePoint, एमएस आरडीपी और एडोब रीडर के साथ पुरस्कारों के भीतर बने रहे जो लावारिस बने रहे।
$ 600 के इनामी प्लस टेस्ला मॉडल 3 कार के बावजूद टेस्ला कार सूचना प्रणाली की हैक को प्रदर्शित करने के लिए कोई भी लोग तैयार नहीं थे।
अन्य पुरस्कारों में से सम्मानित किया गया:
- Microsoft Exchange को डिक्रिप्ट करने के लिए $ 200 (व्यवस्थापक अधिकारों को प्राप्त करने के लिए सर्वर पर प्रमाणीकरण और स्थानीय विशेषाधिकार वृद्धि को दरकिनार)। एक अन्य टीम को एक और सफल कारनामा दिखाया गया था, लेकिन दूसरे पुरस्कार का भुगतान नहीं किया गया था क्योंकि पहले से ही टीम ने एक ही कीड़े का इस्तेमाल किया था।
- Microsoft उपकरणों को हैक करने में 200 हजार डॉलर (सर्वर पर कोड निष्पादन)।
- Apple सफारी ऑपरेशन के लिए $ 100 (सफारी में पूर्णांक अतिप्रवाह और सैंडबॉक्सिंग से बचने और कर्नेल-स्तर कोड निष्पादित करने के लिए macOS कर्नेल में बफर अतिप्रवाह)।
- समानताएं डेस्कटॉप को हैक करने के लिए 140,000 (वर्चुअल मशीन से लॉगिंग करना और मुख्य सिस्टम पर कोड चलाना)। हमले को तीन अलग-अलग कमजोरियों का शोषण करके किया गया था: असिंचित स्मृति रिसाव, स्टैक ओवरफ्लो और पूर्णांक ओवरफ्लो।
- समानताएं डेस्कटॉप हैक्स के लिए दो $ 40 का पुरस्कार (तर्क त्रुटि और बफर अतिप्रवाह जो कोड को एक आभासी मशीन के भीतर क्रियाओं के माध्यम से बाहरी ऑपरेटिंग सिस्टम पर चलने की अनुमति देता है)।