onlangs ze maakten zich bekend via een blogpost uitslag van de drie dagen van de Pwn2Own 2022 competitie, die jaarlijks wordt gehouden als onderdeel van de CanSecWest-conferentie.
In de editie van dit jaar Van technieken is aangetoond dat ze werken om kwetsbaarheden te misbruiken voorheen onbekend voor Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams en Firefox. In totaal werden 25 succesvolle aanvallen gedemonstreerd en drie pogingen eindigden in een mislukking. De aanvallen maakten gebruik van de nieuwste stabiele versies van applicaties, browsers en besturingssystemen met alle beschikbare updates en in standaardinstellingen. Het totale bedrag aan betaalde bezoldiging bedroeg US $ 1.155.000.
Pwn2Own Vancouver tegen 2022 is aan de gang, en het 15-jarig jubileum van de wedstrijd heeft al ongelooflijk veel onderzoek opgeleverd. Houd deze blog in de gaten voor bijgewerkte resultaten, afbeeldingen en video's van het evenement. We zullen het hier allemaal plaatsen, inclusief het nieuwste Master of Pwn-klassement.
De competitie demonstreerde vijf succesvolle pogingen om voorheen onbekende kwetsbaarheden te misbruiken in Ubuntu Desktop, gemaakt door verschillende teams van deelnemers.
kreeg een Prijs van $ 40,000 voor het demonstreren van lokale privilege-escalatie in Ubuntu Desktop door gebruik te maken van twee problemen met bufferoverloop en dubbele release. Vier bonussen, elk met een waarde van $ 40,000, werden betaald voor het aantonen van escalatie van bevoegdheden door misbruik te maken van kwetsbaarheden met betrekking tot geheugentoegang nadat het was vrijgegeven (Use-After-Free).
SUCCES – Keith Yeo (@kyeojy) won $40K en 4 Master of Pwn-punten voor een Use-After-Free exploit op Ubuntu Desktop.
Welke componenten van het probleem nog niet zijn gemeld, volgens de voorwaarden van de competitie, zal gedetailleerde informatie over alle aangetoonde 0-day-kwetsbaarheden pas na 90 dagen worden gepubliceerd, die worden gegeven voor de voorbereiding van updates door fabrikanten om kwetsbaarheden te verwijderen.
SUCCES – In de laatste poging op dag 2 hebben Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) en Xinyu Xing (@xingxinyu) van het TUTELARY-team van de Northwestern University met succes een Use After Free-bug gedemonstreerd die leidde tot verhoging van de bevoegdheden in Ubuntu Bureaublad. Dit levert u $ 40,000 en 4 Master of Pwn-punten op.
Team Orca van Sea Security (security.sea.com) was in staat om 2 bugs op Ubuntu Desktop uit te voeren: een Out-of-Bounds Write (OOBW) en Use-After-Free (UAF), waarmee $ 40,000 en 4 Master of Pwn-punten verdiend werden .
SUCCES: Team Orca van Sea Security (security.sea.com) was in staat om 2 bugs op Ubuntu Desktop uit te voeren: een Out-of-Bounds Write (OOBW) en Use-After-Free (UAF), waarbij $ 40,000 en 4 Master of Pwn punten.
Van de andere aanvallen die met succes zouden kunnen worden uitgevoerd, kunnen we de volgende noemen:
- 100 duizend dollar voor de ontwikkeling van een exploit voor Firefox, waarmee, door een speciaal ontworpen pagina te openen, de isolatie van de sandbox kon worden omzeild en code in het systeem kon worden uitgevoerd.
- $ 40,000 voor het demonstreren van een exploit die gebruikmaakt van een bufferoverloop in Oracle Virtualbox om een gast uit te loggen.
- $ 50,000 voor het uitvoeren van Apple Safari (bufferoverloop).
- $ 450,000 voor Microsoft Teams-hacks (verschillende teams demonstreerden drie hacks met een beloning van
- elk $ 150,000).
- $ 80,000 (twee bonussen van $ 40,000) om te profiteren van bufferoverlopen en escalatie van bevoegdheden in Microsoft Windows 11.
- $ 80,000 (twee bonussen van $ 40,000) om een bug in de toegangsverificatiecode te misbruiken om uw privileges in Microsoft Windows 11 te verhogen.
- $ 40k om integer overflow te misbruiken om uw privileges in Microsoft Windows 11 te verhogen.
- $ 40,000 voor het misbruiken van een Use-After-Free-kwetsbaarheid in Microsoft Windows 11.
- $ 75,000 voor het demonstreren van een aanval op het infotainmentsysteem van een auto van Tesla Model 3. De exploit maakte gebruik van bufferoverloop en gratis dubbele bugs, samen met een eerder bekende sandbox-bypass-techniek.
Last but not least wordt vermeld dat in de twee dagen van de competitie de mislukkingen die zich hebben voorgedaan ondanks de drie toegestane hackpogingen, de volgende zijn: Microsoft Windows 11 (6 succesvolle hacks en 1 mislukte), Tesla (1 hack succesvol en 1 mislukt) ) en Microsoft Teams (3 geslaagde hacks en 1 mislukt). Er waren dit jaar geen verzoeken om exploits in Google Chrome aan te tonen.
Eindelijk als u er meer over wilt weten, Je kunt de details in het originele bericht bekijken op de volgende link.