Pwn2Own 2023 ರಲ್ಲಿ ಅವರು 5 ಉಬುಂಟು ಹ್ಯಾಕ್‌ಗಳನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಪ್ರದರ್ಶಿಸಿದರು

ಇತ್ತೀಚೆಗೆ ಫಲಿತಾಂಶಗಳು ಸ್ಪರ್ಧೆಯ ಮೂರು ದಿನಗಳು Pwn2Own 2023, ಇದು ವ್ಯಾಂಕೋವರ್‌ನಲ್ಲಿ ಕ್ಯಾನ್‌ಸೆಕ್‌ವೆಸ್ಟ್ ಸಮ್ಮೇಳನದ ಭಾಗವಾಗಿ ವಾರ್ಷಿಕವಾಗಿ ನಡೆಯುತ್ತದೆ.

ಈ ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಕೆಲಸ ಮಾಡಲು ತಂತ್ರಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗಿದೆ Ubuntu, Apple macOS, Oracle VirtualBox, VMWare ವರ್ಕ್‌ಸ್ಟೇಷನ್, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint ಮತ್ತು ಟೆಸ್ಲಾ ವಾಹನಗಳಿಗೆ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲ.

ಒಟ್ಟು 27 ಯಶಸ್ವಿ ದಾಳಿಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲಾಯಿತು ಅದು ಹಿಂದೆ ತಿಳಿದಿಲ್ಲದ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತದೆ.

Pwn2Own ಬಗ್ಗೆ ಪರಿಚಯವಿಲ್ಲದವರಿಗೆ, ಇದು 2005 ರಿಂದ ನಡೆಯುತ್ತಿರುವ ಟ್ರೆಂಡ್ ಮೈಕ್ರೋ ಝೀರೋ-ಡೇ ಇನಿಶಿಯೇಟಿವ್ (ZDI) ಆಯೋಜಿಸಿದ ಜಾಗತಿಕ ಹ್ಯಾಕಿಂಗ್ ಈವೆಂಟ್ ಎಂದು ನೀವು ತಿಳಿದಿರಬೇಕು. ಇದರಲ್ಲಿ ಕೆಲವು ಅತ್ಯುತ್ತಮ ಹ್ಯಾಕಿಂಗ್ ತಂಡಗಳು ತಾಂತ್ರಿಕ ಗುರಿಗಳ ವಿರುದ್ಧ ಸ್ಪರ್ಧಿಸುತ್ತವೆ ಡೀಫಾಲ್ಟ್‌ಗಳು ಮತ್ತು ಪರಸ್ಪರ, 'ಶೂನ್ಯ-ದಿನ' ಶೋಷಣೆಗಳನ್ನು ಬಳಸಿ.

ಈ ಗಣ್ಯ ಹ್ಯಾಕರ್ ಬೌಂಟಿ ಬೇಟೆಗಾರರು ಮತ್ತು ಭದ್ರತಾ ಸಂಶೋಧಕರು ಪ್ರಶ್ನೆಯಲ್ಲಿರುವ ಗುರಿಗಳನ್ನು ಯಶಸ್ವಿಯಾಗಿ 'pwn' ಮಾಡಲು ಕಟ್ಟುನಿಟ್ಟಾದ ಸಮಯದ ಮಿತಿಯನ್ನು ಹೊಂದಿದ್ದಾರೆ. ಮಾಸ್ಟರ್ಸ್ ಆಫ್ Pwn ಲೀಡರ್‌ಬೋರ್ಡ್‌ಗೆ ಅಂಕಗಳನ್ನು ಸೇರಿಸುವುದರೊಂದಿಗೆ ಯಶಸ್ಸಿಗೆ ಬಹುಮಾನ ನೀಡಲಾಗುತ್ತದೆ ಮತ್ತು Pwn2Own ಗೆ ಕೀರ್ತಿಯನ್ನು ಕಡಿಮೆ ಅಂದಾಜು ಮಾಡಬಾರದು ಏಕೆಂದರೆ ಇಲ್ಲಿ ಸ್ಪರ್ಧಾತ್ಮಕ ಸ್ವಭಾವವು ಪ್ರಬಲವಾಗಿದೆ ಮತ್ತು ಪ್ರಭಾವಶಾಲಿ ಪಾವತಿಗಳು. ಒಟ್ಟಾರೆಯಾಗಿ, Pwn2Own Vancouver 2023 $1 ಮಿಲಿಯನ್‌ಗಿಂತಲೂ ಹೆಚ್ಚಿನ ಬಹುಮಾನ ನಿಧಿಯನ್ನು ಹೊಂದಿದೆ.

ಮೊದಲು ಬಿದ್ದದ್ದು ಅಡೋಬ್ ರೀಡರ್ ಅಬ್ದುಲ್ ಅಜೀಜ್ ಹರಿರಿ ನಂತರ ವ್ಯಾಪಾರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ವಿಭಾಗದಲ್ಲಿ (@abdhariri) ನಿಂದ ಹಬೂಬ್ SA ಸರಪಳಿಯನ್ನು ಬಳಸಿದ್ದಾರೆ ಶೋಷಣೆ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ನಿಂದ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ಮತ್ತು $6 ಗೆಲ್ಲಲು ಮ್ಯಾಕೋಸ್‌ನಲ್ಲಿ ನಿಷೇಧಿತ API ಗಳ ಪಟ್ಟಿಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಿದ ಬಹು ವಿಫಲವಾದ ಪ್ಯಾಚ್‌ಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಂಡ 50.000-ಬಗ್ ಲಾಜಿಕ್ ಚೈನ್ ಅನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದೆ.

ಸ್ಪರ್ಧೆಯಲ್ಲಿ ಸ್ಫೋಟಿಸಲು ಐದು ಯಶಸ್ವಿ ಪ್ರಯತ್ನಗಳನ್ನು ತೋರಿಸಲಾಗಿದೆ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲದ ದುರ್ಬಲತೆಗಳು ಉಬುಂಟು ಡೆಸ್ಕ್‌ಟಾಪ್, ಭಾಗವಹಿಸುವವರ ವಿವಿಧ ತಂಡಗಳಿಂದ ಮಾಡಲ್ಪಟ್ಟಿದೆ.

ಮೆಮೊರಿಯನ್ನು ಎರಡು ಬಾರಿ ಮುಕ್ತಗೊಳಿಸುವುದರಿಂದ ಸಮಸ್ಯೆಗಳು ಉಂಟಾಗಿವೆ ($30k ಬೋನಸ್), ದಿ ಉಚಿತ ನಂತರ ಮೆಮೊರಿ ಪ್ರವೇಶ ($30k ಬೋನಸ್), ತಪ್ಪಾದ ಪಾಯಿಂಟರ್ ನಿರ್ವಹಣೆ ($30k ಬೋನಸ್). ಎರಡು ಡೆಮೊಗಳಲ್ಲಿ, ಈಗಾಗಲೇ ತಿಳಿದಿರುವ, ಆದರೆ ಸ್ಥಿರವಾಗಿಲ್ಲ, ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಲಾಗಿದೆ (15 ಸಾವಿರ ಡಾಲರ್‌ಗಳ ಎರಡು ಬೋನಸ್‌ಗಳು). ಇದರ ಜೊತೆಗೆ, ಉಬುಂಟು ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಆರನೇ ಪ್ರಯತ್ನವನ್ನು ಮಾಡಲಾಯಿತು, ಆದರೆ ಶೋಷಣೆಯು ಕೆಲಸ ಮಾಡಲಿಲ್ಲ.

ಸಮಸ್ಯೆಯ ಅಂಶಗಳ ಬಗ್ಗೆ ಇನ್ನೂ ವರದಿಯಾಗಿಲ್ಲ, ಸ್ಪರ್ಧೆಯ ನಿಯಮಗಳ ಪ್ರಕಾರ, ಎಲ್ಲಾ ಪ್ರದರ್ಶಿಸಲಾದ ಶೂನ್ಯ ದಿನದ ದೋಷಗಳ ಬಗ್ಗೆ ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು 90 ದಿನಗಳ ನಂತರ ಮಾತ್ರ ಪ್ರಕಟಿಸಲಾಗುತ್ತದೆ, ದುರ್ಬಲತೆಗಳನ್ನು ತೊಡೆದುಹಾಕಲು ತಯಾರಕರು ನವೀಕರಣಗಳನ್ನು ತಯಾರಿಸಲು ಇದನ್ನು ನೀಡಲಾಗುತ್ತದೆ.

ಇತರ ಡೆಮೊಗಳ ಬಗ್ಗೆ ಯಶಸ್ವಿ ದಾಳಿಗಳಲ್ಲಿ ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ:

• ಉಚಿತ ದೋಷಗಳು, ಬಫರ್ ಓವರ್‌ಫ್ಲೋ ಮತ್ತು ರೀಡ್ ಔಟ್ ಆಫ್ ಬಫರ್ ನಂತರ ಮೆಮೊರಿ ಪ್ರವೇಶದಿಂದ ಉಂಟಾದ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂರು Oracle VirtualBox ಹ್ಯಾಕ್‌ಗಳು (ಹೋಸ್ಟ್ ಸೈಡ್‌ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುವ 40 ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಎರಡು $80k ಬೋನಸ್‌ಗಳು ಮತ್ತು $3k ಬೋನಸ್).
• Apple ನ macOS ಎಲಿವೇಶನ್ ($40K ಪ್ರೀಮಿಯಂ).
• ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಂಡೋಸ್ 11 ನಲ್ಲಿ ಎರಡು ದಾಳಿಗಳು ತಮ್ಮ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟವು ($30.000 ಬೋನಸ್ಗಳು).
• ಪೋಸ್ಟ್-ಫ್ರೀ ಮೆಮೊರಿ ಪ್ರವೇಶ ಮತ್ತು ತಪ್ಪಾದ ಇನ್‌ಪುಟ್ ಮೌಲ್ಯೀಕರಣದಿಂದ ದೋಷಗಳು ಉಂಟಾಗಿವೆ.
• ಶೋಷಣೆಯಲ್ಲಿ ಎರಡು ದೋಷಗಳ ಸರಣಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಮೈಕ್ರೋಸಾಫ್ಟ್ ತಂಡಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಿ ($75,000 ಪ್ರೀಮಿಯಂ).
• Microsoft SharePoint ಮೇಲೆ ದಾಳಿ ($100,000 ಬೋನಸ್).
• ಉಚಿತ ಮೆಮೊರಿ ಮತ್ತು ಅನ್‌ಇನಿಶಿಯಲೈಸ್ಡ್ ವೇರಿಯಬಲ್ ($80 ಪ್ರೀಮಿಯಂ) ಅನ್ನು ಪ್ರವೇಶಿಸುವ ಮೂಲಕ VMWare ಕಾರ್ಯಸ್ಥಳದ ಮೇಲೆ ದಾಳಿ ಮಾಡಿ.
• ಅಡೋಬ್ ರೀಡರ್‌ನಲ್ಲಿ ವಿಷಯವನ್ನು ರೆಂಡರಿಂಗ್ ಮಾಡುವಾಗ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್. 6 ದೋಷಗಳ ಸಂಕೀರ್ಣ ಸರಣಿಯನ್ನು ದಾಳಿ ಮಾಡಲು, ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ನಿಷೇಧಿತ API ($50,000 ಬಹುಮಾನ) ಪ್ರವೇಶಿಸಲು ಬಳಸಲಾಗಿದೆ.

ಟೆಸ್ಲಾ ಕಾರ್ ಇನ್ಫೋಟೈನ್‌ಮೆಂಟ್ ಸಿಸ್ಟಂ ಮತ್ತು ಟೆಸ್ಲಾ ಗೇಟ್‌ವೇ ಮೇಲೆ ಎರಡು ದಾಳಿಗಳು ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಮೊದಲ ಬಹುಮಾನ $100,000 ಮತ್ತು ಟೆಸ್ಲಾ ಮಾಡೆಲ್ 3 ಕಾರು, ಮತ್ತು ಎರಡನೇ ಬಹುಮಾನ $250,000.

ಲಭ್ಯವಿರುವ ಎಲ್ಲಾ ನವೀಕರಣಗಳು ಮತ್ತು ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್‌ಗಳೊಂದಿಗೆ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು, ಬ್ರೌಸರ್‌ಗಳು ಮತ್ತು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳ ಇತ್ತೀಚಿನ ಸ್ಥಿರ ಆವೃತ್ತಿಗಳನ್ನು ದಾಳಿಗಳು ಬಳಸಿಕೊಂಡಿವೆ. ಪಾವತಿಸಿದ ಪರಿಹಾರದ ಒಟ್ಟು ಮೊತ್ತವು $1,035,000 ಮತ್ತು ಒಂದು ಕಾರು. ಹೆಚ್ಚು ಅಂಕಗಳನ್ನು ಪಡೆದ ತಂಡವು $530,000 ಮತ್ತು ಟೆಸ್ಲಾ ಮಾಡೆಲ್ 3 ಅನ್ನು ಪಡೆದುಕೊಂಡಿತು.

ಅಂತಿಮವಾಗಿ, ನೀವು ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ವಿವರಗಳನ್ನು ಸಂಪರ್ಕಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್‌ನಲ್ಲಿ.