Pwn2Own 2020 dihadirkan online karena Covid-19 dan peretasan ditampilkan untuk Ubuntu, Virtualbox, dan lainnya

Pwn2Own adalah kontes peretasan diadakan setiap tahun di konferensi keamanan CanSecWest, dimulai pada tahun 2007. Peserta menghadapi tantangan untuk mengeksploitasi perangkat lunak dan perangkat seluler banyak digunakan dengan kerentanan yang sampai sekarang tidak diketahui.

Pemenang kontes menerima perangkat yang mereka eksploitasi, hadiah uang tunai, dan “MasterMerayakan tahun kemenangannya. Nama "Pwn2Own" berasal dari fakta bahwa peserta harus "pwn" atau meretas perangkat untuk "memiliki" atau memenangkannya.

Kontes Pwn2Own digunakan untuk mendemonstrasikan kerentanan perangkat dan perangkat lunak yang banyak digunakan dan juga menyediakan pos pemeriksaan atas kemajuan yang dibuat dalam keamanan sejak tahun sebelumnya.

Tentang Pwn2Own 2020

Di Pwn2Own 2020 edisi baru tahun ini kompetisi diadakan secara virtual dan serangan ditampilkan secara online, karena masalah yang ditimbulkan oleh penyebaran virus Cornona (Covid-19), menjadi ini pertama kalinya penyelenggara Anda Inisiatif Hari Nol (ZDI), telah memutuskan untuk menyelenggarakan acara tersebut memungkinkan peserta untuk mendemonstrasikan sedikit eksploitasinya.

Selama kompetisi berbagai teknik kerja disajikan untuk mengeksploitasi kerentanan sebelumnya tidak diketahui di Desktop Ubuntu (Kernel Linux), Windows, macOS, Safari, VirtualBox, dan Adobe Reader.

Jumlah total pembayaran mencapai 270 ribu dolar (Total hadiah lebih dari US $ 4 juta).

Singkatnya, hasil kompetisi dua hari Pwn2Own 2020 yang diadakan setiap tahun di konferensi CanSecWest adalah sebagai berikut:

    • Selama hari pertama Pwn2Own 2020, tim dari Georgia Software and Security Lab Sistem Teknologi (@Kontol_gt) Retas Safari dengan eskalasi hak istimewa tingkat kernel macOS dan mulai kalkulator dengan hak akses root. Rantai serangan melibatkan enam kerentanan dan memungkinkan tim menghasilkan $ 70,000.
    • Selama acara berlangsung Manfred Paul dari "RedRocket" bertanggung jawab untuk mendemonstrasikan eskalasi hak istimewa lokal di Ubuntu Desktop melalui eksploitasi kerentanan di kernel Linux yang terkait dengan verifikasi nilai input yang salah. Ini membuatnya memenangkan hadiah sebesar $ 30.
    • Juga Demonstrasi dilakukan dengan meninggalkan lingkungan tamu di VirtualBox dan mengeksekusi kode dengan hak hypervisorDengan mengeksploitasi dua kerentanan: kemampuan untuk membaca data dari area di luar buffer yang dialokasikan dan kesalahan saat bekerja dengan variabel yang tidak diinisialisasi, hadiah untuk membuktikan kekurangan ini adalah $ 40. Di luar kompetisi, perwakilan dari Zero Day Initiative juga mendemonstrasikan trik VirtualBox lain, yang memungkinkan akses ke sistem host melalui manipulasi di lingkungan tamu.

  • Dua demonstrasi eskalasi hak istimewa lokal di Windows dengan mengeksploitasi kerentanan yang mengarah ke akses ke area memori yang sudah dibebaskan, dengan dua hadiah masing-masing 40 ribu dolar.
  • Dapatkan akses administrator di Windows saat membuka dokumen PDF dirancang khusus dalam Adobe Reader. Serangan tersebut melibatkan kerentanan di Acrobat dan di kernel Windows yang terkait dengan akses ke area memori yang sudah dibebaskan (hadiah $ 50).

Nominasi yang tidak diklaim yang tersisa dirujuk untuk meretas Chrome, Firefox, Edge, Klien Microsoft Hyper-V, Microsoft Office, dan Microsoft Windows RDP.

Ada juga upaya untuk meretas VMware Workstation, tetapi upaya itu tidak berhasil. Seperti tahun lalu, peretasan sebagian besar proyek terbuka (nginx, OpenSSL, Apache httpd) tidak masuk dalam kategori penghargaan.

Secara terpisah, kita dapat melihat masalah peretasan sistem informasi mobil Tesla.

Tidak ada upaya untuk meretas Tesla dalam kompetisi tersebut.a, meskipun premi maksimum $ 700 ribu, tetapi ada informasi terpisah tentang deteksi kerentanan DoS (CVE-2020-10558) dalam Tesla Model 3, yang memungkinkan untuk menonaktifkan halaman yang dirancang khusus di pemberitahuan autopilot browser bawaan dan mengganggu pengoperasian komponen seperti speedometer, navigator, AC, sistem navigasi, dll.

sumber: https://www.thezdi.com/


Jadilah yang pertama mengomentari

tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.