Pwn2Own 2020은 Covid-19로 인해 온라인으로 전환되었으며 Ubuntu, Virtualbox 등에 대한 해킹이 표시되었습니다.

Darkcrizt

4 분

Pwn2Own은 해킹 콘테스트입니다 2007 년부터 CanSecWest 보안 컨퍼런스에서 매년 개최됩니다. 참가자는 소프트웨어 및 모바일 장치를 악용하는 문제에 직면합니다. 지금까지 알려지지 않은 취약점과 함께 널리 사용됩니다.

콘테스트 우승자는 자신이 악용 한 장치, 상금 및“마스터즈그의 승리의 해를 축하합니다. "Pwn2Own"이라는 이름은 참가자가 장치를 "소유"하거나 획득하기 위해 장치를 "pwn"하거나 해킹해야한다는 사실에서 파생되었습니다.

콘테스트 Pwn2Own은 널리 사용되는 장치 및 소프트웨어의 취약성을 입증하는 데 사용됩니다. 또한 전년도 이후의 보안 진행 상황에 대한 체크 포인트를 제공합니다.

Pwn2Own 2020 정보

올해 Pwn2Own 2020의 새 버전에서 가상 대회가 열렸고 공격이 온라인으로 표시되었습니다., Cornonavirus (Covid-19)의 확산으로 인해 발생한 문제로 인해 처음으로 주최자가 ZDI (Zero Day Initiative), 이벤트를 조직하기로 결정했습니다 참가자들이 원격 그의 공적.

대회 중 취약점을 악용하기 위해 다양한 작업 기술이 제시되었습니다. 이전에 알려지지 않은 Ubuntu Desktop에서 (Linux 커널), Windows, macOS, Safari, VirtualBox 및 Adobe Reader.

총 지불액은 270 만 달러 (총 상금 풀은 미화 4 백만 달러가 넘었습니다).

요약하면 이틀간의 대회 결과는 CanSecWest 컨퍼런스에서 매년 개최되는 Pwn2Own 2020은 다음과 같습니다.

    • Pwn2Own 2020 첫날, Georgia Software and Security Lab 팀 기술 시스템 (@SSLab_가텍) macOS 커널 수준 권한 에스컬레이션이 포함 된 Safari 해킹 루트 권한으로 계산기를 시작하십시오. 공격 체인에는 70,000 가지 취약점이 포함되어 팀이 $ XNUMX를 벌 수있었습니다.
    • 이벤트 중 "RedRocket"의 Manfred Paul은 Ubuntu Desktop에서 로컬 권한 상승 시연을 담당했습니다. 입력 값의 잘못된 확인과 관련된 Linux 커널의 취약성 악용을 통해. 이로 인해 그는 $ 30의 상금을 받았습니다.
    • 또한 데모는 VirtualBox에 게스트 환경을 남겨두고 하이퍼 바이저 권한으로 코드를 실행하는 것으로 만들어졌습니다.두 가지 취약점, 즉 할당 된 버퍼 외부 영역에서 데이터를 읽는 능력과 초기화되지 않은 변수로 작업 할 때의 오류를 악용함으로써이 결함을 증명 한 상금은 $ 40였습니다. 경쟁 외에도 Zero Day Initiative의 대표자들은 게스트 환경에서 조작을 통해 호스트 시스템에 액세스 할 수있는 또 다른 VirtualBox 트릭을 시연했습니다.

  • 두 가지 시연 취약점을 악용하여 Windows의 로컬 권한 상승 이미 해제 된 메모리 영역에 대한 액세스로 이어지는이 두 가지 상금은 각각 40 만 달러입니다.
  • PDF 문서를 열 때 Windows에서 관리자 액세스 권한 얻기 특별히 Adobe Reader에서 설계되었습니다. 이 공격은 이미 해제 된 메모리 영역에 대한 액세스와 관련된 Acrobat 및 Windows 커널의 취약점 ($ 50 상금)을 포함합니다.

청구되지 않은 나머지 후보는 Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office 및 Microsoft Windows RDP를 해킹 한 것으로 참조되었습니다.

VMware Workstation을 해킹하려고 시도했지만 실패했습니다. 작년과 마찬가지로 대부분의 오픈 프로젝트 (nginx, OpenSSL, Apache httpd)의 해킹은 수상 카테고리에 포함되지 않았습니다.

별도로 테슬라 자동차 정보 시스템 해킹 문제를 살펴볼 수 있습니다.

경쟁에서 Tesla를 해킹하려는 시도는 없었습니다.a, 최대 보험료 $ 700에도 불구하고 DoS 취약점 탐지에 대한 별도의 정보가있었습니다. (CVE-2020-10558) Tesla Model 3에서 내장 브라우저 자동 조종 알림에서 특별히 설계된 페이지를 비활성화하고 속도계, 내비게이터, 에어컨, 내비게이션 시스템 등과 같은 구성 요소의 작동을 중단 할 수 있습니다.

출처 : https://www.thezdi.com/


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.