Pwn2Own 2020 doveden je na mrežu zbog Covid-19 i prikazani su hakovi za Ubuntu, Virtualbox i druge

Pwn2Own je natjecanje u hakiranju održava se godišnje na sigurnosnoj konferenciji CanSecWest, počevši od 2007. godine. Sudionici se suočavaju s izazovom iskorištavanja softvera i mobilnih uređaja naširoko se koristi s do sada nepoznatim ranjivostima.

Pobjednici natječaja dobivaju uređaj koji su iskoristili, novčanu nagradu i „MastersProslavljajući godinu svoje pobjede. Naziv "Pwn2Own" izveden je iz činjenice da sudionici moraju "pwn" ili hakirati uređaj kako bi ga "posjedovali" ili osvojili.

Natjecanje Pwn2Own koristi se za dokazivanje ranjivosti široko korištenih uređaja i softvera a također pruža kontrolnu točku napretka postignutog u sigurnosti od prethodne godine.

O Pwn2Own 2020

U ovom novom izdanju Pwn2Own 2020, u ovoj godini natjecanja su se održavala virtualno, a napadi su se prikazivali na mreži, zbog problema koji su nastali širenjem kornonavirusa (Covid-19), jer je ovo prvi put da ste organizator Inicijativa za nulti dan (ZDI), su odlučili organizirati događaj omogućujući sudionicima da demonstriraju udaljeno njegovi podvizi.

Tijekom natjecanja predstavljene su razne radne tehnike za iskorištavanje ranjivosti ranije nepoznata u Ubuntu Desktop (Linux jezgra), Windows, macOS, Safari, VirtualBox i Adobe Reader.

Ukupan iznos plaćanja iznosio je 270 tisuća dolara (Ukupni nagradni fond bio je preko 4 milijuna američkih dolara).

Ukratko, rezultati dva dana natjecanja Pwn2Own 2020, koji se održavaju svake godine na konferenciji CanSecWest, su sljedeći:

    • Tijekom prvog dana Pwn2Own 2020, tim iz Laboratorija za softver i sigurnost Georgia Tehnički sustavi (@SSLab_Gatech) Hakiranje Safarija s eskalacijom privilegija na razini macOS-a i pokrenite kalkulator s root privilegijama. Lanac napada uključivao je šest ranjivosti i omogućio je timu da zaradi 70,000 XNUMX USD.
    • Tijekom događaja Manfred Paul iz "RedRocket" bio je zadužen za demonstraciju eskalacije lokalnih privilegija u Ubuntu Desktop kroz iskorištavanje ranjivosti u Linux jezgri povezanoj s pogrešnom provjerom ulaznih vrijednosti. To ga je dovelo do osvajanja nagrade od 30 američkih dolara.
    • también demonstracija je napravljena iz napuštanja gostujućeg okruženja u VirtualBoxu i izvršavanja koda s pravima hipervizoraIskorištavanjem dvije ranjivosti: mogućnosti čitanja podataka s područja izvan dodijeljenog međuspremnika i pogreške pri radu s neinicijaliziranim varijablama, nagrada za dokazivanje ove pogreške iznosila je 40 XNUMX USD. Izvan konkurencije, predstavnici Zero Day Initiative također su demonstrirali još jedan trik VirtualBox, koji omogućava pristup glavnom sustavu kroz manipulacije u gostujućem okruženju.

  • Dvije demonstracije lokalna eskalacija privilegija u sustavu Windows iskorištavanjem ranjivosti koji vode do pristupa već oslobođenom području memorije, uz ove dvije nagrade od po 40 tisuća dolara.
  • Pristupite administratorskom pristupu u sustavu Windows prilikom otvaranja PDF dokumenta posebno dizajniran u Adobe Readeru. Napad uključuje ranjivosti u programu Acrobat i u Windows jezgri povezane s pristupom već oslobođenim memorijskim područjima (nagrada od 50 XNUMX USD).

Preostale nominacije za koje nisu položene prava prijavljene su za hakiranje Chromea, Firefoxa, Edgea, Microsoft Hyper-V klijenta, Microsoft Officea i Microsoft Windows RDP-a.

Također je bio pokušaj hakiranja VMware Workstation, ali pokušaj je bio neuspješan. Kao i prošle godine, hakiranje većine otvorenih projekata (nginx, OpenSSL, Apache httpd) nije ušlo u kategorije nagrada.

Zasebno možemo pogledati pitanje hakiranja informacijskih sustava automobila Tesla.

Na natjecanju nije bilo pokušaja hakiranja Tesle.a, unatoč maksimalnoj premiji od 700 tisuća dolara, ali postojale su zasebne informacije o otkrivanju ranjivosti DoS-a (CVE-2020-10558) u Teslinom modelu 3, koji omogućuje onemogućavanje posebno dizajnirane stranice u ugrađenim obavijestima autopilota preglednika i prekid rada komponenata poput brzinomjera, navigatora, klima uređaja, navigacijskog sustava itd.

izvor: https://www.thezdi.com/


Budite prvi koji će komentirati

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.