recentemente i risultati di i tre giorni di gara Pwn2Proprio 2021, tenuto ogni anno come parte della conferenza CanSecWest.
Come l'anno precedente, i concorsi si sono svolti virtualmente e gli attacchi sono stati dimostrati online. Dei 23 obiettivi, sono state dimostrate tecniche operative per sfruttare vulnerabilità precedentemente sconosciute per Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams e Zoom.
In tutti i casi, sono state testate le ultime versioni del software, inclusi tutti gli aggiornamenti disponibili. L'importo totale dei pagamenti è stato di un milione e duecentomila dollari USA.
Nella competizione, sono stati fatti tre tentativi per sfruttare le vulnerabilità in Ubuntu di cui sono stati conteggiati il primo e il secondo tentativo e gli aggressori sono stati in grado di dimostrare l'escalation dei privilegi locali attraverso lo sfruttamento di vulnerabilità precedentemente sconosciute legate a buffer overflow e doppia liberazione della memoria (in cui le componenti del problema non sono ancora state segnalate e agli sviluppatori sono concessi 90 giorni per correggere i bug fino alla divulgazione dei dati).
Di queste vulnerabilità che sono state dimostrate per Ubuntu, sono stati pagati bonus di $ 30,000.
Il terzo tentativo, fatto da un'altra squadra nella categoria degli abusi dei privilegi locali, ha avuto successo solo parzialmente: l'exploit ha funzionato e ha permesso di ottenere l'accesso come root, ma l'attacco non è stato completamente accreditato, come il bug associato alla vulnerabilità era già catalogato ed era noto agli sviluppatori di Ubuntu ed era in preparazione un aggiornamento con una correzione.
anche è stato dimostrato un attacco riuscito per i browser con tecnologia Chromium: Google Chrome e Microsoft Edge, di questi è stato pagato un bonus di $ 100,000 per la creazione di un exploit che consente l'esecuzione del codice quando si apre una pagina appositamente progettata in Chrome ed Edge (è stato creato un exploit universale per entrambi i browser).
Nel caso di questa vulnerabilità, si segnala che la correzione dovrebbe essere pubblicata nelle prossime ore, mentre è noto solo che la vulnerabilità è presente nel processo responsabile dell'elaborazione del contenuto web (renderer).
D'altra parte, 200mila dollari sono stati pagati in Zoom e è stato dimostrato che l'app Zoom può essere hackerata eseguendo del codice inviare un messaggio a un altro utente, non è necessaria alcuna azione da parte del destinatario. L'attacco ha utilizzato tre vulnerabilità in Zoom e una nel sistema operativo Windows.
È stato inoltre assegnato un bonus di $ 40,000 per tre operazioni di Windows 10 riuscite in cui sono state dimostrate le vulnerabilità relative a integer overflow, accesso alla memoria già liberata e condizioni di competizione che hanno consentito di ottenere i privilegi di SYSTEM).
Un altro tentativo che è stato mostrato, ma in questo caso non ha avuto successo è stato per VirtualBox, che è rimasto tra i premi insieme a Firefox, VMware ESXi, client Hyper-V, MS Office 365, MS SharePoint, MS RDP e Adobe Reader che sono rimasti non reclamati.
Non c'erano nemmeno persone disposte a dimostrare l'hack del sistema di informazioni per auto Tesla, nonostante il premio di $ 600 più l'auto Tesla Model 3.
Degli altri premi che sono stati premiati:
- $ 200 per la decrittografia di Microsoft Exchange (bypassando l'autenticazione e l'escalation dei privilegi locali sul server per ottenere i diritti di amministratore). A un'altra squadra è stato mostrato un altro exploit di successo, ma il secondo premio non è stato pagato poiché la prima squadra utilizzava già gli stessi bug.
- 200mila dollari per l'hacking di apparecchiature Microsoft (esecuzione di codice sul server).
- $ 100 per il funzionamento di Apple Safari (overflow di interi in Safari e overflow del buffer nel kernel di macOS per evitare il sandboxing ed eseguire codice a livello di kernel).
- 140,000 per l'hacking di Parallels Desktop (disconnettendosi dalla macchina virtuale ed eseguendo il codice sul sistema principale). L'attacco è stato eseguito sfruttando tre diverse vulnerabilità: memory leak non inizializzata, stack overflow e integer overflow.
- Due premi da $ 40 per gli hack di Parallels Desktop (errore logico e overflow del buffer che hanno consentito l'esecuzione del codice su un sistema operativo esterno tramite azioni all'interno di una macchina virtuale).