Pwn2Own 2023 में उन्होंने सफलतापूर्वक 5 Ubuntu हैक प्रदर्शित किए

Pwn2स्वयं 2023

Pwn2Own 2033 वैंकूवर में आयोजित किया गया था

हाल ही में का परिणाम प्रतियोगिता के तीन दिन Pwn2स्वयं 2023, जो वैंकूवर में कैनसेकवेस्ट सम्मेलन के हिस्से के रूप में सालाना आयोजित किया जाता है।

इस नए संस्करण में कमजोरियों का फायदा उठाने के लिए काम करने के लिए तकनीकों का प्रदर्शन किया गया है पहले Ubuntu, Apple macOS, Oracle VirtualBox, VMWare वर्कस्टेशन, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint और Tesla वाहनों के लिए अज्ञात था।

कुल 27 सफल हमलों का प्रदर्शन किया गया जिसने पहले की अज्ञात कमजोरियों का फायदा उठाया।

Pwn2Own से अपरिचित लोगों के लिए, आपको पता होना चाहिए कि यह ट्रेंड माइक्रो जीरो-डे इनिशिएटिव (ZDI) द्वारा आयोजित एक वैश्विक हैकिंग इवेंट है, जो 2005 से हो रहा है। इसमें कुछ बेहतरीन हैकिंग टीमें तकनीकी लक्ष्यों के खिलाफ प्रतिस्पर्धा करती हैं। डिफ़ॉल्ट और एक दूसरे, 'शून्य-दिन' शोषण का उपयोग करते हुए।

इन संभ्रांत हैकर बाउंटी हंटर्स और सुरक्षा शोधकर्ताओं के पास प्रश्न में लक्ष्य को सफलतापूर्वक 'pwn' करने की सख्त समय सीमा है। Pwn लीडरबोर्ड के मास्टर्स में जोड़े जाने वाले अंकों के साथ सफलता को पुरस्कृत किया जाता है, और Pwn2Own के यश को कम नहीं आंका जाना चाहिए क्योंकि यहां प्रतिस्पर्धी प्रकृति मजबूत है, साथ ही प्रभावशाली भुगतान भी। कुल मिलाकर, Pwn2Own वैंकूवर 2023 की पुरस्कार राशि $1 मिलियन से अधिक है।

सबसे पहले गिरने वाला Adobe Reader था व्यापार अनुप्रयोग श्रेणी में अब्दुल अजीज हरीरी के बाद (@आबधारीरी) हबूब एसए से की एक श्रृंखला का इस्तेमाल किया कारनामे एक 6-बग लॉजिक चेन को लक्षित करना जिसने सैंडबॉक्स से बचने वाले कई विफल पैच का दुरुपयोग किया और $50.000 जीतने के लिए macOS में प्रतिबंधित API की सूची को बायपास किया।

प्रतियोगिता में विस्फोट के पांच सफल प्रयास दिखाए गए पहले अज्ञात कमजोरियों में उबंटू डेस्कटॉप, प्रतिभागियों की विभिन्न टीमों द्वारा किया गया।

स्मृति के दोहरे मुक्त होने के कारण समस्याएं उत्पन्न हुईं ($30k बोनस), द मुफ्त के बाद मेमोरी एक्सेस ($30k बोनस), गलत पॉइंटर हैंडलिंग ($30k बोनस)। दो डेमो में, पहले से ही ज्ञात, लेकिन निश्चित नहीं, कमजोरियों का उपयोग किया गया (15 हजार डॉलर के दो बोनस)। इसके अलावा, उबंटू पर हमला करने का छठा प्रयास किया गया था, लेकिन शोषण काम नहीं आया।

समस्या के घटकों के बारे में अभी तक रिपोर्ट नहीं किया गया है, प्रतियोगिता की शर्तों के अनुसार, सभी प्रदर्शित शून्य दिन कमजोरियों के बारे में विस्तृत जानकारी केवल 90 दिनों के बाद प्रकाशित की जाएगी, जो कि कमजोरियों को खत्म करने के लिए निर्माताओं द्वारा अद्यतन तैयार करने के लिए दी गई हैं।

अन्य डेमो के बारे में सफल हमलों में निम्नलिखित का उल्लेख किया गया है:

  • तीन ओरेकल वर्चुअलबॉक्स फ्री कमजोरियों के बाद मेमोरी एक्सेस, बफर ओवरफ्लो, और रीड आउट ऑफ बफर (दो $ 40k बोनस और $ 80k बोनस के लिए 3 कमजोरियों का फायदा उठाने के लिए जो मेजबान पक्ष पर कोड के निष्पादन की अनुमति देता है) के कारण कमजोरियों का शोषण करता है।
  • Apple का macOS एलिवेशन ($ 40K प्रीमियम)।
  • Microsoft Windows 11 पर दो हमलों ने उन्हें अपने विशेषाधिकार ($30.000 बोनस) बढ़ाने की अनुमति दी।
  • भेद्यता पोस्ट-फ्री मेमोरी एक्सेस और गलत इनपुट सत्यापन के कारण हुई थी।
  • शोषण ($75,000 प्रीमियम) में दो बगों की एक श्रृंखला का उपयोग करके Microsoft टीमों पर हमला।
  • Microsoft SharePoint ($100,000 बोनस) पर हमला।
  • VMWare वर्कस्टेशन पर मुफ्त मेमोरी और एक गैर-प्रारंभिक चर ($80 प्रीमियम) तक पहुंचकर हमला।
  • एडोब रीडर में सामग्री प्रस्तुत करते समय कोड निष्पादन। सैंडबॉक्स को बायपास करने और प्रतिबंधित एपीआई ($ 6 पुरस्कार) तक पहुंचने के लिए 50,000 त्रुटियों की एक जटिल श्रृंखला का उपयोग किया गया था।

टेस्ला कार इंफोटेनमेंट सिस्टम और टेस्ला गेटवे पर दो हमले, रूट एक्सेस हासिल करने की अनुमति। प्रथम पुरस्कार $100,000 और एक टेस्ला मॉडल 3 कार थी, और दूसरा पुरस्कार $250,000 था।

हमलों ने सभी उपलब्ध अपडेट और डिफ़ॉल्ट सेटिंग्स के साथ एप्लिकेशन, ब्राउज़र और ऑपरेटिंग सिस्टम के नवीनतम स्थिर संस्करणों का उपयोग किया। भुगतान किए गए मुआवजे की कुल राशि $ 1,035,000 और एक कार थी। सबसे अधिक अंकों वाली टीम को $530,000 और एक टेस्ला मॉडल 3 प्राप्त हुआ।

अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण देख सकते हैं निम्नलिखित लिंक में


पहली टिप्पणी करने के लिए

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।