Pada Pwn2Own 2023 mereka berjaya mempamerkan 5 hacks Ubuntu

Darkcrizt

Minit 4

Pwn2Own 2023

Pwn2Own 2033 telah diadakan di Vancouver

Baru-baru ini hasil daripada tiga hari pertandingan Pwn2Own 2023, yang diadakan setiap tahun sebagai sebahagian daripada persidangan CanSecWest di Vancouver.

Dalam edisi baru ini teknik telah ditunjukkan untuk mengeksploitasi kelemahan sebelum ini tidak diketahui untuk Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint dan untuk kenderaan Tesla.

Sebanyak 27 serangan berjaya ditunjukkan yang mengeksploitasi kelemahan yang tidak diketahui sebelum ini.

Bagi mereka yang tidak biasa dengan Pwn2Own, anda harus tahu bahawa ini adalah acara penggodaman global yang dianjurkan oleh Trend Micro Zero-Day Initiative (ZDI), yang telah berlangsung sejak 2005. Di dalamnya, beberapa pasukan penggodaman terbaik bersaing dengan sasaran teknologi lalai dan satu sama lain, menggunakan eksploitasi 'sifar hari'.

Pemburu habuan penggodam dan penyelidik keselamatan elit ini mempunyai had masa yang ketat untuk berjaya 'mencapai' sasaran yang dipersoalkan. Kejayaan diberi ganjaran dengan mata ditambah pada papan pendahulu Sarjana Pwn, dan pujian kepada Pwn2Own tidak boleh dipandang remeh kerana sifat daya saing yang kuat di sini, serta pembayaran yang mengagumkan. Secara keseluruhan, Pwn2Own Vancouver 2023 mempunyai dana hadiah melebihi $1 juta.

Yang pertama jatuh ialah Adobe Reader dalam kategori aplikasi perniagaan selepas Abdul Aziz Hariri (@abdhariri) daripada Haboob SA menggunakan rantaian eksploitasi menyasarkan rantai logik 6 pepijat yang menyalahgunakan berbilang tampung gagal yang terlepas dari Kotak Pasir dan memintas senarai API yang dilarang dalam macOS untuk memenangi $50.000.

Dalam pertandingan menunjukkan lima percubaan yang berjaya untuk meletup kelemahan yang tidak diketahui sebelum ini dalam Desktop Ubuntu, dibuat oleh pasukan peserta yang berbeza.

Masalahnya disebabkan oleh pembebasan memori berganda (bonus $30k), yang akses memori selepas percuma (bonus $30k), pengendalian penunjuk yang salah (bonus $30k). Dalam dua demo, sudah diketahui, tetapi tidak tetap, kelemahan telah digunakan (dua bonus 15 ribu dolar). Di samping itu, percubaan keenam untuk menyerang Ubuntu telah dibuat, tetapi eksploitasi itu tidak berjaya.

Mengenai komponen masalah belum lagi dilaporkan, mengikut syarat pertandingan, maklumat terperinci tentang semua kelemahan hari sifar yang ditunjukkan akan diterbitkan hanya selepas 90 hari, yang diberikan untuk penyediaan kemas kini oleh pengeluar untuk menghapuskan kelemahan.

Mengenai demo yang lain serangan yang berjaya perkara berikut disebut:

  • Tiga penggodam Oracle VirtualBox mengeksploitasi kelemahan yang disebabkan oleh Akses Memori Selepas Kerentanan Percuma, Limpahan Penampan dan Pembacaan Daripada Penampan (dua bonus $40k dan bonus $80k untuk mengeksploitasi 3 kelemahan yang membenarkan pelaksanaan kod pada bahagian hos).
  • Ketinggian macOS Apple ($40K Premium).
  • Dua serangan pada Microsoft Windows 11 yang membolehkan mereka meningkatkan keistimewaan mereka ($30.000 bonus).
  • Kelemahan ini disebabkan oleh akses memori pasca bebas dan pengesahan input yang salah.
  • Serang Microsoft Teams menggunakan rangkaian dua pepijat dalam eksploitasi ($75,000 premium).
  • Serangan ke atas Microsoft SharePoint ($100,000 bonus).
  • Serang stesen kerja VMWare dengan mengakses memori percuma dan pembolehubah yang tidak dimulakan ($80 premium).
  • Pelaksanaan kod semasa memaparkan kandungan dalam Adobe Reader. Rantaian kompleks 6 ralat telah digunakan untuk menyerang, memintas kotak pasir dan mengakses API yang dilarang ($50,000 hadiah).

Dua serangan ke atas sistem infotainmen kereta Tesla dan Tesla Gateway, membolehkan untuk mendapatkan akses root. Hadiah pertama ialah $100,000 dan sebuah kereta Tesla Model 3, dan hadiah kedua ialah $250,000.

Serangan itu menggunakan versi stabil terkini aplikasi, penyemak imbas dan sistem pengendalian dengan semua kemas kini yang tersedia dan tetapan lalai. Jumlah pampasan yang dibayar ialah $1,035,000 dan sebuah kereta. Pasukan dengan mata terbanyak menerima $530,000 dan Tesla Model 3.

Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh melihat butirannya Dalam pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.