Pwn2Own è un concorso di hacking tenuto ogni anno alla conferenza sulla sicurezza CanSecWest, a partire dal 2007. I partecipanti affrontano la sfida di sfruttare software e dispositivi mobili ampiamente utilizzato con vulnerabilità fino ad ora sconosciute.
I vincitori del concorso ricevono il dispositivo che hanno sfruttato, un premio in denaro e un "MastersCelebrando l'anno della sua vittoria. Il nome "Pwn2Own" deriva dal fatto che i partecipanti devono "pwnare" o hackerare il dispositivo per "possederlo" o vincerlo.
Il concorso Pwn2Own viene utilizzato per dimostrare la vulnerabilità di dispositivi e software ampiamente utilizzati e fornisce anche un punto di controllo sui progressi compiuti in materia di sicurezza dall'anno precedente.
Informazioni su Pwn2Own 2020
In questa nuova edizione di Pwn2Own 2020, quest'anno le gare si sono svolte virtualmente e gli attacchi sono stati mostrati online, a causa dei problemi che sono stati generati dalla diffusione del Cornonavirus (Covid-19), essendo questa la prima volta che sei il tuo organizzatore Iniziativa Zero Day (ZDI), hanno deciso di organizzare l'evento permettendo ai partecipanti di dimostrare da remoto le sue imprese.
Durante la competizione sono state presentate varie tecniche di lavoro per sfruttare le vulnerabilità precedentemente sconosciuto in Ubuntu Desktop (Kernel Linux), Windows, macOS, Safari, VirtualBox e Adobe Reader.
L'importo totale dei pagamenti ammontava a 270 mila dollari (Il montepremi totale era di oltre 4 milioni di dollari).
In sintesi, i risultati di due giorni di gara Pwn2Own 2020 che si tiene ogni anno alla conferenza CanSecWest sono i seguenti:
-
- Durante il primo giorno di Pwn2Own 2020, un team del Georgia Software and Security Lab Sistemi tecnologici (@SSLab_Gatech) Hack di Safari con escalation dei privilegi a livello di kernel macOS e avvia la calcolatrice con i privilegi di root. La catena di attacco ha coinvolto sei vulnerabilità e ha permesso al team di guadagnare $ 70,000.
- Durante l'evento Manfred Paul di "RedRocket" era incaricato di dimostrare l'escalation dei privilegi locali in Ubuntu Desktop attraverso lo sfruttamento di una vulnerabilità nel kernel Linux associata a una non corretta verifica dei valori di input. Questo lo ha portato a vincere un premio di $ 30.
- Pure la dimostrazione è stata fatta di lasciare un ambiente guest in VirtualBox ed eseguire codice con i diritti di un hypervisorSfruttando due vulnerabilità: la capacità di leggere i dati da un'area al di fuori del buffer allocato e un errore quando si lavora con variabili non inizializzate, il premio per aver dimostrato questo difetto è stato di $ 40. Al di fuori della competizione, i rappresentanti della Zero Day Initiative hanno anche dimostrato un altro trucco di VirtualBox, che consente l'accesso al sistema host tramite manipolazioni nell'ambiente ospite.
- Due dimostrazioni di escalation dei privilegi locali in Windows sfruttando le vulnerabilità che hanno portato ad accedere a un'area della memoria già liberata, con questo sono stati assegnati due premi da 40mila dollari ciascuno.
- Ottieni l'accesso come amministratore in Windows all'apertura di un documento PDF appositamente progettato in Adobe Reader. L'attacco coinvolge vulnerabilità in Acrobat e nel kernel di Windows relative all'accesso ad aree di memoria già liberate (premio di $ 50).
Le restanti candidature non rivendicate sono state inviate per l'hacking di Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office e Microsoft Windows RDP.
C'è stato anche un tentativo di hackerare VMware Workstation, ma il tentativo non ha avuto successo. Come lo scorso anno, l'hacking della maggior parte dei progetti aperti (nginx, OpenSSL, Apache httpd) non è entrato nelle categorie dei premi.
Separatamente, possiamo esaminare il problema dell'hacking dei sistemi informativi delle auto Tesla.
Non ci sono stati tentativi di hackerare Tesla nella competizione.a, nonostante il premio massimo di $ 700 mila, ma c'erano informazioni separate sul rilevamento delle vulnerabilità DoS (CVE-2020-10558) in Tesla Model 3, che consente di disabilitare una pagina appositamente progettata nelle notifiche del pilota automatico del browser integrato e interrompere il funzionamento di componenti come tachimetro, navigatore, aria condizionata, sistema di navigazione, ecc.
fonte: https://www.thezdi.com/