Neseniai rezultatus tris varžybų dienas 2 m. „Pwn2021Own“, kasmet rengiama kaip „CanSecWest“ konferencijos dalis.
Kaip ir praėjusiais metais, konkursai vyko praktiškai o išpuoliai buvo demonstruojami internete. Iš 23 taikinių operacinės technikos, skirtos anksčiau nežinomoms spragoms išnaudoti, buvo parodytos „Ubuntu“, „Windows 10“, „Chrome“, „Safari“, „Parallels Desktop“, „Microsoft Exchange“, „Microsoft Teams“ ir „Zoom“.
Visais atvejais buvo išbandytos naujausios programinės įrangos versijos, įskaitant visus galimus atnaujinimus. Bendra mokėjimų suma buvo milijonas du šimtai tūkstančių JAV dolerių.
Varžybose tris kartus buvo bandoma išnaudoti „Ubuntu“ pažeidžiamumus iš kurių buvo suskaičiuotas pirmasis ir antrasis bandymai ir užpuolikai sugebėjo pademonstruoti vietos privilegijų eskalavimą pasinaudojant anksčiau nežinomais pažeidimais, susijusiais su buferio perpildymu ir dviguba atminties atlaisvinimu (kai dar nebuvo pranešta apie problemos komponentus, o kūrėjams suteikiama 90 dienų klaidoms ištaisyti, kol duomenys bus atskleisti).
Iš šių pažeidimų, kurie buvo įrodyti naudojant „Ubuntu“, buvo išmokėtos 30,000 XNUMX USD premijos.
Trečias bandymas, kurį atliko kita komanda piktnaudžiavimo vietinėmis privilegijomis kategorijoje, tai buvo tik iš dalies sėkminga: išnaudojimas veikė ir leido gauti root prieigą, bet ataka nebuvo visiškai įskaityta, nuo su pažeidžiamumu susijusi klaida jau buvo kataloguota ir tai buvo žinoma „Ubuntu“ kūrėjams ir buvo ruošiamas atnaujinimas su taisymu.
taip pat buvo įrodyta sėkminga ataka naršyklėms su „Chromium“ technologija: „Google Chrome“ ir „Microsoft Edge“ iš jų sumokėta 100,000 XNUMX USD premija už tai, kad sukurtas išnaudojimas, leidžiantis paleisti kodą, atidarius specialiai sukurtą puslapį „Chrome“ ir „Edge“ (universalus išnaudojimas buvo sukurtas abiem naršyklėms).
Šio pažeidžiamumo atveju minima, kad tikimasi, kad pataisymas bus paskelbtas per kelias kitas valandas, tuo tarpu yra tik žinoma, kad pažeidžiamumas yra procese, kuris yra atsakingas už žiniatinklio turinio (atvaizduotojo) apdorojimą.
Kita vertus, „Zoom and“ buvo sumokėta 200 tūkstančių dolerių buvo parodyta, kad „Zoom“ programą galima nulaužti vykdant tam tikrą kodą siunčiant pranešimą kitam vartotojui, nereikia jokių gavėjo veiksmų. Ataka panaudojo tris „Zoom“ ir vieną „Windows“ operacinės sistemos spragas.
40,000 10 JAV dolerių premija taip pat buvo skirta už tris sėkmingas „Windows XNUMX“ operacijas, kuriose buvo parodyti pažeidžiamumai, susiję su sveikojo skaičiaus perpildymu, prieiga prie jau atlaisvintos atminties ir lenktynių sąlygomis, leidžiančiomis gauti SYSTEM privilegijas).
Dar vienas bandymas tai buvo pademonstruota, bet šiuo atveju buvo nesėkminga buvo skirta „VirtualBox“, kuris liko atlygio ribose kartu su „Firefox“, „VMware ESXi“, „Hyper-V“ klientu, „MS Office 365“, „MS SharePoint“, „MS RDP“ ir „Adobe Reader“.
Nepaisant 600 3 USD vertės prizo ir „Tesla Model XNUMX“ automobilio, nebuvo žmonių, norinčių parodyti „Tesla“ automobilių informacinės sistemos nulaužimą.
Iš kitų apdovanojimų kurie buvo apdovanoti:
- 200 XNUMX USD už „Microsoft Exchange“ iššifravimą (apeinant autentifikavimą ir vietinių privilegijų eskalavimą serveryje, norint gauti administratoriaus teises). Kitai komandai buvo parodytas dar vienas sėkmingas išnaudojimas, tačiau antrasis prizas nebuvo sumokėtas, nes pirmoji komanda jau naudojo tas pačias klaidas.
- 200 tūkstančių dolerių įsilaužimui į „Microsoft“ įrangą (kodo vykdymas serveryje).
- 100 XNUMX USD už „Apple Safari“ operaciją (sveiko skaičiaus perpildymas „Safari“ ir buferio perpildymas „MacOS“ branduolyje, kad būtų išvengta smėlio dėžės ir vykdomas kodas branduolio lygiu).
- 140,000 XNUMX už „Parallels Desktop“ įsilaužimą (atsijungimas iš virtualios mašinos ir kodo paleidimas pagrindinėje sistemoje). Ataka buvo įvykdyta naudojant tris skirtingas spragas: neinicijuotą atminties nutekėjimą, kamino perpildymą ir sveikojo skaičiaus perpildymą.
- Du 40 XNUMX USD prizai už „Parallels Desktop“ įsilaužimus (logikos klaida ir buferio perpildymas, leidę kodui veikti išorinėje operacinėje sistemoje atliekant veiksmus virtualioje mašinoje).