अलीकडे त्यांनी स्वत: ला ओळखले ब्लॉग पोस्टद्वारे Pwn2Own 2022 स्पर्धेच्या तीन दिवसांचे निकाल, जे CanSecWest परिषदेचा भाग म्हणून दरवर्षी आयोजित केले जाते.
या वर्षीच्या आवृत्तीत असुरक्षिततेचे शोषण करण्यासाठी कार्य करण्याचे तंत्र प्रदर्शित केले गेले आहे पूर्वी अज्ञात उबंटू डेस्कटॉप, व्हर्च्युअलबॉक्स, सफारी, विंडोज 11, मायक्रोसॉफ्ट टीम्स आणि फायरफॉक्ससाठी. एकूण, 25 यशस्वी हल्ले प्रदर्शित केले गेले आणि तीन प्रयत्न अयशस्वी झाले. हल्ल्यांमध्ये अॅप्लिकेशन्स, ब्राउझर आणि ऑपरेटिंग सिस्टमच्या नवीनतम स्थिर आवृत्त्या सर्व उपलब्ध अद्यतनांसह आणि डीफॉल्ट सेटिंग्जमध्ये वापरल्या गेल्या. एकूण दिलेली मोबदल्याची रक्कम US$1.155.000 होती.
2 पर्यंत Pwn2022Own Vancouver सुरू आहे आणि स्पर्धेच्या 15 व्या वर्धापनदिनापूर्वीच प्रदर्शनावर काही अविश्वसनीय संशोधन पाहिले आहे. इव्हेंटमधील अद्यतनित परिणाम, प्रतिमा आणि व्हिडिओंसाठी या ब्लॉगशी संपर्कात रहा. Pwn लीडरबोर्डच्या नवीनतम मास्टरसह आम्ही ते सर्व येथे पोस्ट करू.
स्पर्धा पूर्वीच्या अज्ञात भेद्यतेचे शोषण करण्याचे पाच यशस्वी प्रयत्न प्रदर्शित केले उबंटू डेस्कटॉपमध्ये, सहभागींच्या वेगवेगळ्या संघांनी बनवलेले.
ए पुरस्कार देण्यात आला उबंटू डेस्कटॉपमध्ये स्थानिक विशेषाधिकार वाढीचे प्रदर्शन करण्यासाठी $40,000 पुरस्कार दोन बफर ओव्हरफ्लो आणि दुहेरी प्रकाशन समस्यांचे शोषण करून. चार बोनस, प्रत्येकी $40,000 किमतीचे, रिलीझ झाल्यानंतर मेमरी प्रवेशाशी संबंधित असुरक्षा शोषण करून विशेषाधिकार वाढीचे प्रदर्शन करण्यासाठी दिले गेले (वापर-आफ्टर-फ्री).
यश - कीथ येओ (@kyeojy) ने Ubuntu डेस्कटॉपवर वापरा-नंतर-विनामूल्य शोषणासाठी $40K आणि 4 मास्टर ऑफ Pwn पॉइंट जिंकले.
समस्येचे कोणते घटक अद्याप नोंदवले गेले नाहीत, स्पर्धेच्या अटींनुसार, सर्व प्रदर्शित केलेल्या 0-दिवसांच्या भेद्यतेची तपशीलवार माहिती केवळ 90 दिवसांनंतर प्रकाशित केली जाईल, जी असुरक्षा दूर करण्यासाठी उत्पादकांद्वारे अद्यतने तयार करण्यासाठी दिली जाते.
यश - दुसऱ्या दिवशी अंतिम प्रयत्नात, नॉर्थवेस्टर्न युनिव्हर्सिटीच्या TUTELARY टीममधील Zhenpeng Lin (@Markak_), Yueqi चेन (@Lewis_Chen_), आणि Xinyu Xing (@xingxinyu) यांनी यशस्वीरित्या युज आफ्टर फ्री बगचे प्रात्यक्षिक करून यूबीटॉपमध्ये विशेषाधिकार उंचावला. . यामुळे तुम्हाला $2 आणि 40,000 मास्टर ऑफ Pwn पॉइंट मिळतात.
ओर्का ऑफ सी सिक्युरिटी (security.sea.com) ची टीम उबंटू डेस्कटॉपवर 2 बग चालवण्यास सक्षम होती: एक आउट-ऑफ-बाउंड राइट (OOBW) आणि वापर-आफ्टर-फ्री (UAF), $40,000 आणि Pwn पॉइंट्सचे 4 मास्टर मिळवले. .
यश: टीम ऑर्का ऑफ सी सिक्युरिटी (security.sea.com) उबंटू डेस्कटॉपवर 2 बग चालवण्यास सक्षम होती: एक आउट-ऑफ-बाउंड्स राइट (OOBW) आणि वापर-आफ्टर-फ्री (UAF), जिंकले $40,000 आणि 4 मास्टर ऑफ Pwn गुण.
इतर हल्ल्यांपैकी जे यशस्वीरित्या केले जाऊ शकतात, आम्ही खालील गोष्टींचा उल्लेख करू शकतो:
- फायरफॉक्ससाठी शोषणाच्या विकासासाठी 100 हजार डॉलर्स, ज्याने विशेष डिझाइन केलेले पृष्ठ उघडून, सँडबॉक्सचे अलगाव टाळण्यासाठी आणि सिस्टममध्ये कोड कार्यान्वित करण्याची परवानगी दिली.
- अतिथी लॉग आउट करण्यासाठी Oracle Virtualbox मधील बफर ओव्हरफ्लोचा फायदा घेणारे शोषण दाखवण्यासाठी $40,000.
- Apple सफारी (बफर ओव्हरफ्लो) चालवण्यासाठी $50,000.
- मायक्रोसॉफ्ट टीम्स हॅकसाठी $450,000
- प्रत्येकी $150,000).
- Microsoft Windows 80,000 मध्ये बफर ओव्हरफ्लो आणि विशेषाधिकार वाढीचा लाभ घेण्यासाठी $40,000 (दोन $11 बोनस).
- Microsoft Windows 80,000 मधील तुमचे विशेषाधिकार वाढवण्यासाठी ऍक्सेस पडताळणी कोडमधील बगचा फायदा घेण्यासाठी $40,000 (दोन $11 बोनस).
- Microsoft Windows 40 मध्ये तुमचे विशेषाधिकार वाढवण्यासाठी पूर्णांक ओव्हरफ्लोचा फायदा घेण्यासाठी $11k.
- Microsoft Windows 40,000 मधील वापर-नंतर-मुक्त भेद्यतेचा फायदा घेण्यासाठी $11.
- टेस्ला मॉडेल 75,000 कारच्या इन्फोटेनमेंट सिस्टमवर झालेल्या हल्ल्याचे प्रदर्शन करण्यासाठी $3
शेवटचे परंतु किमान, असे नमूद केले आहे की स्पर्धेच्या दोन दिवसात तीन हॅकिंग प्रयत्नांना परवानगी असूनही अपयश आले, ते खालीलप्रमाणे आहेत: मायक्रोसॉफ्ट विंडोज 11 (6 यशस्वी हॅक आणि 1 अयशस्वी), टेस्ला (1 हॅक यशस्वी आणि 1 अयशस्वी) ) आणि मायक्रोसॉफ्ट टीम्स (3 यशस्वी हॅक आणि 1 अयशस्वी). या वर्षी Google Chrome मध्ये शोषण प्रदर्शित करण्यासाठी कोणत्याही विनंत्या नाहीत.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, तुम्ही मूळ पोस्टमध्ये तपशील तपासू शकता खालील दुवा.