हाल ही में उन्होंने खुद को जाना एक ब्लॉग पोस्ट के माध्यम से Pwn2Own 2022 प्रतियोगिता के तीन दिनों के परिणाम, जो सालाना CanSecWest सम्मेलन के हिस्से के रूप में आयोजित किया जाता है।
इस साल के संस्करण में कमजोरियों का फायदा उठाने के लिए काम करने के लिए तकनीकों का प्रदर्शन किया गया है पहले अज्ञात उबंटू डेस्कटॉप, वर्चुअलबॉक्स, सफारी, विंडोज 11, माइक्रोसॉफ्ट टीम्स और फायरफॉक्स के लिए. कुल मिलाकर, 25 सफल हमलों का प्रदर्शन किया गया और तीन प्रयास विफलता में समाप्त हुए। हमलों ने सभी उपलब्ध अपडेट और डिफ़ॉल्ट सेटिंग्स के साथ एप्लिकेशन, ब्राउज़र और ऑपरेटिंग सिस्टम के नवीनतम स्थिर संस्करणों का उपयोग किया। भुगतान किए गए पारिश्रमिक की कुल राशि US$1.155.000 थी।
2 तक Pwn2022Own वैंकूवर चल रहा है, और प्रतियोगिता की 15वीं वर्षगांठ पर पहले ही प्रदर्शन पर कुछ अविश्वसनीय शोध देखे जा चुके हैं। घटना से अद्यतन परिणामों, छवियों और वीडियो के लिए इस ब्लॉग पर बने रहें। हम यह सब यहां पोस्ट करेंगे, जिसमें Pwn लीडरबोर्ड के नवीनतम मास्टर शामिल हैं।
प्रतियोगिता पहले अज्ञात कमजोरियों का फायदा उठाने के पांच सफल प्रयासों का प्रदर्शन किया उबंटू डेस्कटॉप में, प्रतिभागियों की विभिन्न टीमों द्वारा बनाया गया।
a . से सम्मानित किया गया उबंटू डेस्कटॉप में स्थानीय विशेषाधिकार वृद्धि को प्रदर्शित करने के लिए $40,000 का पुरस्कार दो बफर ओवरफ्लो और डबल रिलीज मुद्दों का फायदा उठाकर। मेमोरी एक्सेस से संबंधित कमजोरियों का फायदा उठाकर विशेषाधिकार वृद्धि को प्रदर्शित करने के लिए प्रत्येक $40,000 मूल्य के चार बोनस का भुगतान किया गया था (उपयोग-आफ्टर-फ्री)।
सफलता - कीथ येओ (@kyeojy) ने उबंटू डेस्कटॉप पर उपयोग-आफ्टर-फ्री शोषण के लिए $40K और 4 मास्टर ऑफ Pwn अंक जीते।
समस्या के कौन से घटक अभी तक रिपोर्ट नहीं किए गए हैं, प्रतियोगिता की शर्तों के अनुसार, सभी प्रदर्शित 0-दिन की कमजोरियों पर विस्तृत जानकारी केवल 90 दिनों के बाद प्रकाशित की जाएगी, जो निर्माताओं द्वारा कमजोरियों को दूर करने के लिए अपडेट की तैयारी के लिए दी गई हैं।
सफलता - दूसरे दिन अंतिम प्रयास में, नॉर्थवेस्टर्न यूनिवर्सिटी की TUTELARY टीम के जेनपेंग लिन (@Markak_), यूकी चेन (@Lewis_Chen_), और Xinyu Xing (@xingxinyu) ने सफलतापूर्वक एक यूज़ आफ्टर फ्री बग का प्रदर्शन किया, जिसके कारण उबंटू में विशेषाधिकार में वृद्धि हुई। डेस्कटॉप। यह आपको $2 और Pwn अंकों के 40,000 मास्टर देता है।
टीम ओर्का ऑफ़ सी सिक्योरिटी (security.sea.com) उबंटू डेस्कटॉप पर 2 बग चलाने में सक्षम थी: एक आउट-ऑफ-बाउंड्स राइट (OOBW) और यूज़-आफ्टर-फ्री (UAF), $40,000 और 4 मास्टर ऑफ़ Pwn पॉइंट्स .
सफलता: टीम ओर्का ऑफ सी सिक्योरिटी (security.sea.com) उबंटू डेस्कटॉप पर 2 बग चलाने में सक्षम थी: एक आउट-ऑफ-बाउंड्स राइट (OOBW) और यूज-आफ्टर-फ्री (UAF), $40,000 और 4 मास्टर ऑफ पीएन अंक।
अन्य हमलों को सफलतापूर्वक अंजाम दिया जा सकता है, हम निम्नलिखित का उल्लेख कर सकते हैं:
- फ़ायरफ़ॉक्स के लिए एक शोषण के विकास के लिए 100 हजार डॉलर, जिसने विशेष रूप से डिज़ाइन किए गए पृष्ठ को खोलकर, सैंडबॉक्स के अलगाव को रोकने और सिस्टम में कोड निष्पादित करने की अनुमति दी।
- एक अतिथि को लॉग आउट करने के लिए Oracle वर्चुअलबॉक्स में बफर ओवरफ्लो का लाभ उठाने वाले शोषण को प्रदर्शित करने के लिए $40,000।
- Apple सफारी (बफर ओवरफ्लो) चलाने के लिए $50,000।
- Microsoft टीम हैक्स के लिए $450,000 (विभिन्न टीमों ने के इनाम के साथ तीन हैक प्रदर्शित किए)
- $ 150,000 प्रत्येक)।
- Microsoft Windows 80,000 में बफर ओवरफ्लो और विशेषाधिकार वृद्धि का लाभ उठाने के लिए $40,000 (दो $11 बोनस)।
- माइक्रोसॉफ्ट विंडोज 80,000 में अपने विशेषाधिकारों को बढ़ाने के लिए एक्सेस सत्यापन कोड में एक बग का फायदा उठाने के लिए $40,000 (दो $11 बोनस)।
- Microsoft Windows 40 में अपने विशेषाधिकारों को बढ़ाने के लिए पूर्णांक अतिप्रवाह का फायदा उठाने के लिए $11k।
- माइक्रोसॉफ्ट विंडोज 40,000 में यूज-आफ्टर-फ्री भेद्यता का फायदा उठाने के लिए $11।
- टेस्ला मॉडल 75,000 कार के इंफोटेनमेंट सिस्टम पर हमले का प्रदर्शन करने के लिए $3। शोषण ने बफर ओवरफ्लो और फ्री डबल बग्स का इस्तेमाल किया, साथ ही पहले से ज्ञात सैंडबॉक्स बायपास तकनीक।
अंतिम लेकिन कम से कम, यह उल्लेख किया गया है कि प्रतियोगिता के दो दिनों में तीन हैकिंग प्रयासों की अनुमति के बावजूद हुई विफलताएं निम्नलिखित हैं: माइक्रोसॉफ्ट विंडोज 11 (6 सफल हैक और 1 असफल), टेस्ला (1 हैक सफल और 1 विफल ) और Microsoft टीम (3 सफल हैक और 1 विफल)। इस वर्ष Google Chrome में कारनामों को प्रदर्शित करने के लिए कोई अनुरोध नहीं किया गया था।
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप मूल पोस्ट में विवरण की जांच कर सकते हैं निम्नलिखित लिंक।