Baru-baru ini hasil dari tiga hari kompetisi Pwn2Milik 2021, diadakan setiap tahun sebagai bagian dari konferensi CanSecWest.
Seperti tahun sebelumnya, lomba-lomba digelar secara virtual dan serangan itu diperlihatkan secara online. Dari 23 target, teknik operasional untuk mengeksploitasi kerentanan yang sebelumnya tidak diketahui telah didemonstrasikan untuk Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams, dan Zoom.
Dalam semua kasus, versi perangkat lunak terbaru telah diuji, termasuk semua pembaruan yang tersedia. Jumlah total pembayaran adalah satu juta dua ratus ribu dolar AS.
Di kompetisi, tiga upaya telah dilakukan untuk mengeksploitasi kerentanan di Ubuntu di mana upaya pertama dan kedua dihitung dan para penyerang dapat menunjukkan peningkatan hak istimewa lokal melalui eksploitasi kerentanan yang sebelumnya tidak diketahui terkait dengan buffer overflows dan pembebasan memori ganda (di mana komponen masalah belum dilaporkan dan pengembang diberi waktu 90 hari untuk memperbaiki bug hingga data diungkapkan).
Dari kerentanan ini yang didemonstrasikan untuk Ubuntu, bonus sebesar $ 30,000 telah dibayarkan.
Upaya ketiga, dilakukan oleh tim lain dalam kategori penyalahgunaan hak istimewa lokal, itu hanya berhasil sebagian: eksploit bekerja dan diizinkan untuk mendapatkan akses root, tapi serangan itu tidak sepenuhnya dikreditkan, sejak bug yang terkait dengan kerentanan sudah di katalog dan telah diketahui oleh pengembang Ubuntu dan pembaruan dengan perbaikan sedang disiapkan.
juga serangan yang berhasil telah ditunjukkan untuk browser dengan teknologi Chromium: Google Chrome dan Microsoft Edge, bonus sebesar $ 100,000 telah dibayarkan untuk membuat eksploitasi yang memungkinkan kode dijalankan saat Anda membuka halaman yang dirancang khusus di Chrome dan Edge (eksploitasi universal dibuat untuk kedua browser).
Dalam kasus kerentanan ini, disebutkan bahwa koreksi diharapkan dapat dipublikasikan dalam beberapa jam ke depan, sedangkan diketahui bahwa kerentanan hanya ada dalam proses yang bertanggung jawab untuk memproses konten web (penyaji).
Di sisi lain, 200 ribu dolar dibayarkan di Zoom dan terbukti bahwa aplikasi Zoom dapat diretas dengan menjalankan beberapa kode mengirim pesan ke pengguna lain, tidak perlu tindakan apa pun oleh penerima. Serangan itu menggunakan tiga kerentanan di Zoom dan satu di sistem operasi Windows.
Bonus $ 40,000 juga diberikan untuk tiga operasi Windows 10 yang berhasil di mana kerentanan terkait dengan integer overflow, akses ke memori yang sudah dibebaskan, dan kondisi balapan yang memungkinkan memperoleh hak istimewa SISTEM ditunjukkan).
Upaya lain yang ditampilkan, tetapi dalam kasus ini itu tidak berhasil itu untuk VirtualBox, yang tetap dalam penghargaan bersama dengan Firefox, VMware ESXi, klien Hyper-V, MS Office 365, MS SharePoint, MS RDP dan Adobe Reader yang tetap tidak diklaim.
Juga tidak ada orang yang mau mendemonstrasikan peretasan sistem informasi mobil Tesla, meskipun hadiah $ 600 ditambah mobil Tesla Model 3.
Dari penghargaan lainnya yang diberikan:
- $ 200 untuk mendekripsi Microsoft Exchange (melewati otentikasi dan eskalasi hak istimewa lokal di server untuk mendapatkan hak administrator). Tim lain diperlihatkan eksploitasi lain yang berhasil, tetapi hadiah kedua tidak dibayarkan karena tim pertama sudah menggunakan bug yang sama.
- 200 ribu dolar untuk meretas peralatan Microsoft (eksekusi kode di server).
- $ 100 untuk operasi Apple Safari (bilangan bulat overflow di Safari dan buffer overflow di kernel macOS untuk menghindari kotak pasir dan menjalankan kode di tingkat kernel).
- 140,000 untuk meretas Parallels Desktop (keluar dari mesin virtual dan menjalankan kode di sistem utama). Serangan tersebut dilakukan dengan mengeksploitasi tiga kerentanan berbeda: kebocoran memori yang tidak diinisialisasi, stack overflow, dan integer overflow.
- Dua hadiah $ 40 untuk peretasan Parallels Desktop (kesalahan logika dan buffer overflow yang memungkinkan kode berjalan di sistem operasi eksternal melalui tindakan dalam mesin virtual).