onlangs de resultaten van de drie dagen van de wedstrijd Pwn2Own 2021, jaarlijks gehouden als onderdeel van de CanSecWest-conferentie.
Net als vorig jaar werden de wedstrijden virtueel gehouden en de aanvallen werden online gedemonstreerd. Van de 23 doelen zijn operationele technieken gedemonstreerd om voorheen onbekende kwetsbaarheden te misbruiken voor Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams en Zoom.
In alle gevallen zijn de nieuwste softwareversies getest, inclusief alle beschikbare updates. Het totale bedrag van de betalingen was een miljoen tweehonderdduizend dollar.
In de competitie, er zijn drie pogingen gedaan om kwetsbaarheden in Ubuntu te misbruiken waarvan de eerste en tweede poging werden geteld en de aanvallers konden de escalatie van lokale privileges aantonen door het misbruiken van voorheen onbekende kwetsbaarheden in verband met bufferoverflows en het vrijmaken van dubbel geheugen (waarbij de componenten van het probleem nog niet zijn gerapporteerd en ontwikkelaars 90 dagen de tijd krijgen om bugs te corrigeren totdat de gegevens worden vrijgegeven).
Van deze kwetsbaarheden die werden aangetoond voor Ubuntu, bonussen van $ 30,000 werden betaald.
De derde poging, gedaan door een ander team in de categorie misbruik van lokale privileges, het was slechts gedeeltelijk succesvol: de exploit werkte en kreeg root-toegang, maar de aanval werd niet volledig gecrediteerd, sinds de bug die verband houdt met de kwetsbaarheid was al gecatalogiseerd en het was bekend bij Ubuntu-ontwikkelaars en er werd gewerkt aan een update met een oplossing.
ook een succesvolle aanval is aangetoond voor browsers met Chromium-technologie: Google Chrome en Microsoft Edge, hiervan is een bonus van $ 100,000 betaald voor het maken van een exploit waarmee code kan worden uitgevoerd wanneer u een speciaal ontworpen pagina opent in Chrome en Edge (een universele exploit is gemaakt voor beide browsers).
Bij deze kwetsbaarheid wordt vermeld dat de correctie naar verwachting in de komende uren gepubliceerd zal worden, terwijl alleen bekend is dat de kwetsbaarheid aanwezig is in het proces dat verantwoordelijk is voor het verwerken van de webcontent (renderer).
Aan de andere kant werd 200 duizend dollar betaald in Zoom en Er werd aangetoond dat de Zoom-app kan worden gehackt door een code uit te voeren een bericht sturen naar een andere gebruiker, de ontvanger hoeft niets te doen De aanval maakte gebruik van drie kwetsbaarheden in Zoom en één in het Windows-besturingssysteem.
Een bonus van $ 40,000 werd ook gegeven voor drie succesvolle Windows 10-bewerkingen waarin kwetsbaarheden met betrekking tot integer-overflow, toegang tot reeds vrijgekomen geheugen en race-omstandigheden die het verkrijgen van SYSTEEM-privileges mogelijk maakten, werden aangetoond).
Nog een poging die werd getoond, maar in dit geval was niet succesvol was voor VirtualBox, die binnen de beloningen bleef, samen met Firefox, VMware ESXi, Hyper-V-client, MS Office 365, MS SharePoint, MS RDP en Adobe Reader die niet werden opgeëist.
Er waren ook geen mensen die de hack van het Tesla-auto-informatiesysteem wilden demonstreren, ondanks de prijs van $ 600 plus de Tesla Model 3-auto.
Van de andere onderscheidingen die werden toegekend:
- $ 200 voor het decoderen van Microsoft Exchange (het omzeilen van authenticatie en escalatie van lokale privileges op de server om beheerdersrechten te krijgen). Een ander team kreeg nog een succesvolle exploit te zien, maar de tweede prijs werd niet uitbetaald omdat het eerste team al dezelfde bugs gebruikte.
- 200 duizend dollar voor het hacken van Microsoft-apparatuur (uitvoering van code op de server).
- $ 100 voor Apple Safari-werking (integer-overflow in Safari en buffer-overflow in macOS-kernel om sandboxing te voorkomen en code op kernelniveau uit te voeren).
- 140,000 voor het hacken van Parallels Desktop (uitloggen bij de virtuele machine en het uitvoeren van de code op het hoofdsysteem). De aanval werd uitgevoerd door gebruik te maken van drie verschillende kwetsbaarheden: niet-geïnitialiseerd geheugenlek, stack-overflow en integer-overflow.
- Twee prijzen van $ 40 voor Parallels Desktop-hacks (logische fout en bufferoverloop waardoor code op een extern besturingssysteem kon worden uitgevoerd via acties op een virtuele machine).