최근에 그들은 스스로를 알렸다 블로그 포스팅을 통해 Pwn2Own 2022 대회 XNUMX일 간의 결과, CanSecWest 회의의 일환으로 매년 개최됩니다.
올해 에디션에서는 취약점을 악용하기 위해 작동하는 기술이 입증되었습니다. 이전에 알려지지 않은 Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams 및 Firefox용. 총 25회의 성공적인 공격이 시연되었으며 1.155.000회의 시도는 실패로 끝났습니다. 공격은 사용 가능한 모든 업데이트와 기본 설정이 적용된 안정적인 최신 버전의 애플리케이션, 브라우저 및 운영 체제를 사용했습니다. 지급된 총 보수 금액은 US$XNUMX입니다.
2년까지 Pwn2022Own Vancouver가 진행 중이며 콘테스트의 15주년을 맞아 이미 놀라운 연구 결과가 전시되었습니다. 이벤트의 업데이트된 결과, 이미지 및 비디오를 보려면 이 블로그를 계속 지켜봐 주십시오. 최신 Master of Pwn 리더보드를 포함하여 모든 정보를 여기에 게시합니다.
경쟁 이전에 알려지지 않은 취약점을 악용하려는 XNUMX번의 성공적인 시도를 보여주었습니다. 다양한 참가자 팀이 만든 Ubuntu Desktop.
수상했다 Ubuntu Desktop에서 로컬 권한 상승 시연을 위한 $40,000 상금 두 가지 버퍼 오버플로 및 이중 릴리스 문제를 악용합니다. 각각 $40,000 상당의 XNUMX건의 보너스는 릴리스된 후 메모리 액세스와 관련된 취약점을 악용하여 권한 상승을 시연한 대가로 지급되었습니다(Use-After-Free).
성공 – Keith Yeo( @kyeojy )는 Ubuntu Desktop에서 Use-After-Free 익스플로잇으로 $40 및 4 Master of Pwn 포인트를 획득했습니다.
아직 보고되지 않은 문제 구성 요소는 경쟁 조건에 따라 제조업체에서 취약점을 제거하기 위한 업데이트 준비를 위해 제공되는 0일 후에만 모든 시연된 90-데이 취약점에 대한 자세한 정보가 게시됩니다.
성공 – 2일차의 마지막 시도에서 Northwestern University의 TUTELARY 팀의 Zhenpeng Lin(@Markak_), Yueqi Chen(@Lewis_Chen_) 및 Xinyu Xing(@xingxinyu)은 Ubuntu에서 권한 상승으로 이어지는 Use After Free 버그를 성공적으로 시연했습니다. 데스크탑. 이렇게 하면 $40,000와 4 Master of Pwn 포인트를 얻을 수 있습니다.
Sea Security(security.sea.com)의 Team Orca는 Ubuntu Desktop에서 2개의 버그를 실행할 수 있었습니다: Out-of-Bounds Write(OOBW) 및 Use-After-Free(UAF), $40,000 및 4 Master of Pwn 포인트 획득 .
성공: Sea Security의 팀 Orca(security.sea.com)는 Ubuntu 데스크탑에서 2개의 버그를 실행할 수 있었습니다: Out-of-Bounds Write(OOBW) 및 Use-After-Free(UAF), $40,000 및 4개의 Master of Pwn 포인트.
성공적으로 수행될 수 있는 다른 공격 중에서 다음을 언급할 수 있습니다.
- Firefox용 익스플로잇 개발에 100만 달러. 특별히 설계된 페이지를 열어 샌드박스의 격리를 우회하고 시스템에서 코드를 실행할 수 있습니다.
- 게스트를 로그아웃하기 위해 Oracle Virtualbox의 버퍼 오버플로를 이용하는 익스플로잇을 시연하는 데 $40,000.
- Apple Safari 실행을 위한 $50,000(버퍼 오버플로).
- Microsoft Teams 해킹에 대해 $450,000(서로 다른 팀이 XNUMX개의 해킹을 시연하여 보상
- 각 $150,000).
- Microsoft Windows 80,000에서 버퍼 오버플로 및 권한 상승을 활용하기 위한 $40,000(11개의 $XNUMX 보너스).
- Microsoft Windows 80,000에서 권한을 높이기 위해 액세스 확인 코드의 버그를 악용하는 데 $40,000(11개의 $XNUMX 보너스).
- Microsoft Windows 40에서 권한을 높이기 위해 정수 오버플로를 활용하는 데 11달러.
- Microsoft Windows 40,000의 Use-After-Free 취약점 악용에 대해 $11.
- Tesla Model 75,000 차량의 인포테인먼트 시스템에 대한 공격 시연에 대해 $3 이 익스플로잇은 이전에 알려진 샌드박스 바이패스 기술과 함께 버퍼 오버플로 및 프리 더블 버그를 사용했습니다.
마지막으로 이틀간의 경쟁에서 11번의 해킹 시도가 허용되었음에도 불구하고 발생한 실패는 Microsoft Windows 6(1개 해킹 성공 및 1개 실패), Tesla(1개 해킹 성공 및 3개 실패) ) 및 Microsoft Teams(1개의 해킹 성공 및 XNUMX개의 실패). 올해 Chrome에서 익스플로잇을 보여달라는 요청은 없었습니다.
최종적으로 그것에 대해 더 많이 알고 싶다면 자세한 내용은 원본 게시물에서 확인할 수 있습니다. 다음 링크.