Al Pwn2Own 2023 hanno presentato con successo 5 hack di Ubuntu

Pwn2Own 2023

Pwn2Own 2033 si è tenuto a Vancouver

recentemente i risultati di i tre giorni di gara Pwn2Own 2023, che si tiene ogni anno nell'ambito della conferenza CanSecWest a Vancouver.

In questa nuova edizione è stato dimostrato che le tecniche funzionano per sfruttare le vulnerabilità precedentemente sconosciuto per Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint e per i veicoli Tesla.

Sono stati dimostrati un totale di 27 attacchi riusciti che ha sfruttato vulnerabilità precedentemente sconosciute.

Per chi non conosce Pwn2Own, sappiate che si tratta di un evento di hacking globale organizzato dalla Trend Micro Zero-Day Initiative (ZDI), che si svolge dal 2005. In esso, alcuni dei migliori team di hacking competono contro obiettivi tecnologici defaults e l'un l'altro, utilizzando exploit 'zero-day'.

Questi cacciatori di taglie di hacker d'élite e ricercatori di sicurezza hanno un limite di tempo rigoroso per "picchiare" con successo gli obiettivi in ​​​​questione. Il successo viene premiato sia con l'aggiunta di punti alla classifica Masters of Pwn, sia con i complimenti a Pwn2Own non dovrebbero essere sottovalutati poiché la natura competitiva è forte qui, così come i pagamenti impressionanti. In totale, Pwn2Own Vancouver 2023 ha un montepremi di oltre $ 1 milione.

Il primo a cadere è stato Adobe Reader nella categoria applicazioni aziendali dopo Abdul Aziz Hariri (@abdhariri) di Haboob SA utilizzava una catena di gesta prendendo di mira una catena logica di 6 bug che ha abusato di più patch non riuscite che sono sfuggite alla sandbox e hanno aggirato un elenco di API vietate in macOS per vincere $ 50.000.

Nella competizione dimostrato cinque tentativi riusciti di esplodere vulnerabilità precedentemente sconosciute in Desktop Ubuntu, realizzati da diverse squadre di partecipanti.

I problemi sono stati causati dalla doppia liberazione della memoria (un bonus di $ 30k), il accesso alla memoria dopo libero (un bonus di $ 30), gestione errata del puntatore (un bonus di $ 30). In due demo, già note, ma non risolte, sono state utilizzate vulnerabilità (due bonus da 15mila dollari). Inoltre, è stato effettuato un sesto tentativo di attacco a Ubuntu, ma l'exploit non ha funzionato.

I componenti del problema non sono ancora stati segnalati, secondo i termini del concorso, le informazioni dettagliate su tutte le vulnerabilità zero day dimostrate verranno pubblicate solo dopo 90 giorni, che sono dati per la preparazione degli aggiornamenti da parte dei produttori per eliminare le vulnerabilità.

A proposito delle altre demo degli attacchi riusciti si menziona quanto segue:

  • Tre hack di Oracle VirtualBox che sfruttano le vulnerabilità causate da Memory Access After Free Vulnerabilities, Buffer Overflow e Read Out of Buffer (due bonus da $ 40 e $ 80 per lo sfruttamento di 3 vulnerabilità che consentivano l'esecuzione di codice sul lato host).
  • MacOS Elevation di Apple ($ 40 Premium).
  • Due attacchi a Microsoft Windows 11 che hanno permesso loro di aumentare i propri privilegi (bonus di $ 30.000).
  • Le vulnerabilità sono state causate dall'accesso alla memoria post-libero e dalla convalida dell'input errata.
  • Attacco a Microsoft Teams utilizzando una catena di due bug nell'exploit ($ 75,000 premium).
  • Attacco a Microsoft SharePoint (bonus di $ 100,000).
  • Attacco alla workstation VMWare accedendo alla memoria libera e a una variabile non inizializzata ($ 80 premium).
  • Esecuzione di codice durante il rendering del contenuto in Adobe Reader. È stata utilizzata una complessa catena di 6 errori per attaccare, aggirare la sandbox e accedere all'API vietata (premio di $ 50,000).

Due attacchi al sistema di infotainment per auto Tesla e al Tesla Gateway, che consentono di ottenere l'accesso root. Il primo premio era di $ 100,000 e un'auto Tesla Model 3, mentre il secondo premio era di $ 250,000.

Gli attacchi hanno utilizzato le ultime versioni stabili di applicazioni, browser e sistemi operativi con tutti gli aggiornamenti disponibili e le impostazioni predefinite. L'importo totale del risarcimento pagato è stato di $ 1,035,000 e un'auto. La squadra con il maggior numero di punti ha ricevuto $ 530,000 e una Tesla Model 3.

Infine, se sei interessato a saperne di più, puoi consultare i dettagli nel seguente link


Puoi essere il primo a lasciare un commento

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.