Pwn2Own 2023에서 그들은 5개의 우분투 해킹을 성공적으로 선보였습니다.

Darkcrizt

4 분

Pwn2Own 2023

Pwn2Own 2033은 밴쿠버에서 개최되었습니다.

최근에 결과 대회 XNUMX 일 Pwn2Own 2023, 밴쿠버에서 CanSecWest 회의의 일환으로 매년 개최됩니다.

이 새 버전에서 취약점을 악용하기 위해 작동하는 기술이 입증되었습니다. 이전에는 Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint 및 Tesla 차량에 대해 알려지지 않았습니다.

총 27회의 성공적인 공격이 시연되었습니다. 이전에 알려지지 않은 취약점을 악용한 것입니다.

Pwn2Own에 익숙하지 않은 분들은 2005년부터 트렌드마이크로 ZDI(Zero-Day Initiative)에서 주관하는 글로벌 해킹 이벤트라는 사실을 아셔야 합니다. . '제로데이' 익스플로잇을 사용하여 기본값과 서로.

이 엘리트 해커 현상금 사냥꾼과 보안 연구원은 문제의 대상을 성공적으로 'pwn'하는 데 엄격한 시간 제한이 있습니다. Masters of Pwn 리더보드에 포인트가 추가되어 성공하면 Pwn2Own에 대한 명성을 과소평가해서는 안 됩니다. 여기에서 경쟁이 강하고 인상적인 지불금이 있기 때문입니다. 전체적으로 Pwn2Own Vancouver 2023의 상금은 1만 달러가 넘습니다.

가장 먼저 넘어진 것은 Adobe Reader였습니다. Abdul Aziz Hariri(@abdhariri) Haboob SA에서 다음 체인을 사용했습니다. 공격 Sandbox를 탈출하고 macOS에서 금지된 API 목록을 우회하여 $6를 획득한 여러 개의 실패한 패치를 악용한 50.000-버그 로직 체인을 대상으로 합니다.

경쟁에서 XNUMX번의 폭발 시도 성공 시연 이전에 알려지지 않은 취약점 우분투 데스크탑, 참가자의 다른 팀에 의해 만들어졌습니다.

이중 메모리 해제로 인해 문제가 발생했습니다. ($30 보너스), 해제 후 메모리 액세스 ($30 보너스), 잘못된 포인터 처리($30 보너스). 이미 알려져 있지만 수정되지 않은 두 가지 데모에서 취약점이 사용되었습니다(15달러의 두 가지 보너스). 또한 우분투를 공격하려는 여섯 번째 시도가 있었지만 익스플로잇이 작동하지 않았습니다.

경쟁 조건에 따라 문제의 구성 요소에 대한 정보는 아직 보고되지 않았으며 시연된 모든 제로 데이 취약점에 대한 자세한 정보는 제조업체가 취약점을 제거하기 위한 업데이트 준비를 위해 제공되는 90일 후에만 게시됩니다.

다른 데모 정보 성공적인 공격에 대해 다음과 같이 언급됩니다.

  • Memory Access After Free 취약점, 버퍼 오버플로 및 버퍼 읽기로 인한 취약점을 악용한 40개의 Oracle VirtualBox 해킹(호스트 측에서 코드 실행을 허용하는 80개의 취약점을 악용한 3개의 $XNUMX 보너스 및 $XNUMX 보너스).
  • Apple의 macOS Elevation(40달러 프리미엄).
  • Microsoft Windows 11에 대한 두 번의 공격으로 권한을 높일 수 있었습니다($30.000 보너스).
  • 취약점은 Post-Free 메모리 액세스 및 잘못된 입력 유효성 검사로 인해 발생했습니다.
  • 익스플로잇에서 두 개의 버그 체인을 사용하여 Microsoft Teams를 공격합니다(프리미엄 $75,000).
  • Microsoft SharePoint에 대한 공격($100,000 보너스).
  • 여유 메모리와 초기화되지 않은 변수에 액세스하여 VMWare 워크스테이션을 공격합니다($80 프리미엄).
  • Adobe Reader에서 콘텐츠를 렌더링하는 동안 코드 실행. 6개의 복잡한 오류 체인을 사용하여 공격하고, 샌드박스를 우회하고, 금지된 API에 액세스했습니다(상금 $50,000).

Tesla 자동차 인포테인먼트 시스템과 Tesla 게이트웨이에 대한 두 가지 공격으로 루트 액세스 권한을 얻을 수 있습니다. 100,000등 상금은 $3와 Tesla Model 250,000 자동차였으며, XNUMX등 상금은 $XNUMX였습니다.

공격은 사용 가능한 모든 업데이트와 기본 설정이 포함된 안정적인 최신 버전의 애플리케이션, 브라우저 및 운영 체제를 사용했습니다. 지급된 보상금 총액은 $1,035,000와 차량 530,000대였습니다. 가장 많은 점수를 얻은 팀은 $3와 Tesla Model XNUMX를 받았습니다.

마지막으로, 그것에 대해 더 알고 싶다면 자세한 내용을 참조하십시오. 다음 링크에서.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.