recentemente si sono fatti conoscere attraverso un post sul blog risultati delle tre giornate del concorso Pwn2Own 2022, che si tiene ogni anno nell'ambito della conferenza CanSecWest.
Nell'edizione di quest'anno è stato dimostrato che le tecniche funzionano per sfruttare le vulnerabilità precedentemente sconosciuto per Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams e Firefox. In totale, sono stati dimostrati 25 attacchi riusciti e tre tentativi si sono conclusi con un fallimento. Gli attacchi hanno utilizzato le ultime versioni stabili di applicazioni, browser e sistemi operativi con tutti gli aggiornamenti disponibili e con le impostazioni predefinite. L'importo totale della remunerazione pagata è stato di US $ 1.155.000.
Pwn2Own Vancouver entro il 2022 è in corso e il 15° anniversario del concorso ha già visto in mostra alcune incredibili ricerche. Resta sintonizzato su questo blog per risultati, immagini e video aggiornati dell'evento. Pubblicheremo tutto qui, inclusa l'ultima classifica di Master of Pwn.
concorrenza dimostrato cinque tentativi riusciti di sfruttare vulnerabilità precedentemente sconosciute in Ubuntu Desktop, realizzato da diversi team di partecipanti.
è stato premiato a Premio di $ 40,000 per aver dimostrato l'escalation dei privilegi locali in Ubuntu Desktop sfruttando due problemi di overflow del buffer e doppio rilascio. Quattro bonus, del valore di $ 40,000 ciascuno, sono stati pagati per dimostrare l'escalation dei privilegi sfruttando le vulnerabilità legate all'accesso alla memoria dopo il rilascio (Use-After-Free).
SUCCESSO – Keith Yeo ( @kyeojy ) ha vinto $ 40 e 4 punti Master of Pwn per un exploit Use-After-Free su Ubuntu Desktop.
Quali componenti del problema non sono ancora segnalate, secondo i termini del concorso, solo dopo 0 giorni verranno pubblicate informazioni dettagliate su tutte le vulnerabilità 90-day dimostrate, che vengono fornite per la preparazione degli aggiornamenti da parte dei produttori per rimuovere le vulnerabilità.
SUCCESSO – Nell'ultimo tentativo del Day 2, Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) e Xinyu Xing (@xingxinyu) del team TUTELARY della Northwestern University hanno dimostrato con successo un bug Use After Free che porta all'elevazione dei privilegi in Ubuntu Desktop . Questo ti fa guadagnare $ 40,000 e 4 punti Master of Pwn.
Il Team Orca di Sea Security (security.sea.com) è stato in grado di eseguire 2 bug su Ubuntu Desktop: Out-of-Bounds Write (OOBW) e Use-After-Free (UAF), guadagnando $ 40,000 e 4 Master of Pwn Points .
SUCCESSO: il Team Orca di Sea Security (security.sea.com) è stato in grado di eseguire 2 bug su Ubuntu Desktop: un Out-of-Bounds Write (OOBW) e Use-After-Free (UAF), vincendo $ 40,000 e 4 Master of Punti Pwn.
Tra gli altri attacchi che potrebbero essere portati a termine con successo, possiamo citare i seguenti:
- 100mila dollari per lo sviluppo di un exploit per Firefox, che ha permesso, aprendo una pagina appositamente studiata, di aggirare l'isolamento della sandbox ed eseguire codice nel sistema.
- $ 40,000 per la dimostrazione di un exploit che sfrutta un buffer overflow in Oracle Virtualbox per disconnettere un guest.
- $ 50,000 per l'esecuzione di Apple Safari (overflow del buffer).
- $ 450,000 per gli hack di Microsoft Teams (diversi team hanno dimostrato tre hack con una ricompensa di
- $ 150,000 ciascuno).
- $ 80,000 (due $ 40,000 bonus) per sfruttare gli overflow del buffer e l'escalation dei privilegi in Microsoft Windows 11.
- $ 80,000 (due bonus da $ 40,000) per sfruttare un bug nel codice di verifica dell'accesso per elevare i tuoi privilegi in Microsoft Windows 11.
- $ 40 per sfruttare l'overflow di numeri interi per elevare i tuoi privilegi in Microsoft Windows 11.
- $ 40,000 per lo sfruttamento di una vulnerabilità Use-After-Free in Microsoft Windows 11.
- $ 75,000 per aver dimostrato un attacco al sistema di infotainment di un'auto Tesla Model 3. L'exploit utilizzava l'overflow del buffer e la liberazione di doppi bug, insieme a una tecnica di bypass sandbox precedentemente nota.
Infine, ma non meno importante, si ricorda che nei due giorni di gara i fallimenti avvenuti nonostante i tre tentativi di hacking consentiti, sono i seguenti: Microsoft Windows 11 (6 hack riusciti e 1 fallito), Tesla (1 hack riuscito e 1 fallito ) e Microsoft Teams (3 hack riusciti e 1 fallito). Quest'anno non ci sono state richieste per dimostrare exploit in Google Chrome.
Infine se sei interessato a saperne di più, Puoi controllare i dettagli nel post originale su il seguente collegamento.