Pwn2Own 2033 werd gehouden in Vancouver
onlangs de resultaten van de drie dagen van de wedstrijd Pwn2Own 2023, die jaarlijks wordt gehouden als onderdeel van de CanSecWest-conferentie in Vancouver.
In deze nieuwe editie Van technieken is aangetoond dat ze werken om kwetsbaarheden te misbruiken voorheen onbekend voor Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint en voor Tesla-voertuigen.
In totaal werden 27 succesvolle aanvallen gedemonstreerd die misbruik maakte van voorheen onbekende kwetsbaarheden.
Voor degenen die niet bekend zijn met Pwn2Own, moet u weten dat dit een wereldwijd hackevenement is dat wordt georganiseerd door het Trend Micro Zero-Day Initiative (ZDI), dat sinds 2005 plaatsvindt. Hierin strijden enkele van de beste hackteams tegen technologische doelen .defaults en elkaar, gebruikmakend van 'zero-day' exploits.
Deze elite hacker premiejagers en beveiligingsonderzoekers hebben een strikte tijdslimiet om de betreffende doelen met succes te 'pwnen'. Succes wordt beloond met zowel punten die worden toegevoegd aan een Masters of Pwn-klassement als complimenten voor Pwn2Own die niet moeten worden onderschat, aangezien het competitieve karakter hier sterk is, evenals indrukwekkende uitbetalingen. In totaal heeft Pwn2Own Vancouver 2023 een prijzenpot van meer dan $1 miljoen.
De eerste die viel was Adobe Reader in de categorie zakelijke toepassingen na Abdul Aziz Hariri (@abdhariri) van Haboob SA gebruikte een ketting van exploits gericht op een logische keten met zes bugs die misbruik maakte van meerdere mislukte patches die uit de Sandbox ontsnapten en een lijst met verboden API's in macOS omzeilde om $ 6 te winnen.
in competitie demonstreerde vijf succesvolle pogingen om te ontploffen voorheen onbekende kwetsbaarheden in Ubuntu-bureaublad, gemaakt door verschillende teams van deelnemers.
De problemen werden veroorzaakt door het dubbel vrijmaken van geheugen (een bonus van $ 30), de geheugentoegang na gratis (een bonus van $ 30), onjuist gebruik van de aanwijzer (een bonus van $ 30). In twee demo's werd gebruik gemaakt van al bekende, maar niet opgeloste kwetsbaarheden (twee bonussen van 15 duizend dollar). Bovendien werd een zesde poging gedaan om Ubuntu aan te vallen, maar de exploit werkte niet.
Over de componenten van het probleem wordt nog niet gerapporteerd, volgens de voorwaarden van de wedstrijd zal gedetailleerde informatie over alle aangetoonde zero day-kwetsbaarheden pas na 90 dagen worden gepubliceerd, die worden gegeven voor de voorbereiding van updates door fabrikanten om kwetsbaarheden te elimineren.
Over de andere demo's van succesvolle aanvallen wordt het volgende genoemd:
- Drie Oracle VirtualBox-hacks die gebruikmaken van kwetsbaarheden veroorzaakt door Memory Access After Free Vulnerabilities, Buffer Overflow en Read Out of Buffer (twee $ 40 bonussen en $ 80 bonus voor het exploiteren van 3 kwetsbaarheden die uitvoering van code aan de hostzijde mogelijk maakten).
- Apple's macOS Elevation ($ 40K Premium).
- Twee aanvallen op Microsoft Windows 11 waardoor ze hun privileges konden vergroten ($ 30.000 bonussen).
- De kwetsbaarheden werden veroorzaakt door post-free geheugentoegang en onjuiste invoervalidatie.
- Aanval op Microsoft Teams met behulp van een reeks van twee bugs in de exploit ($ 75,000 premie).
- Aanval op Microsoft SharePoint ($100,000 bonus).
- Aanval op VMWare-werkstation door toegang te krijgen tot vrij geheugen en een niet-geïnitialiseerde variabele ($ 80 premie).
- Code-uitvoering tijdens het weergeven van inhoud in Adobe Reader. Een complexe reeks van 6 fouten werd gebruikt om aan te vallen, de sandbox te omzeilen en toegang te krijgen tot de verboden API ($ 50,000 prijs).
Twee aanvallen op het auto-infotainmentsysteem van Tesla en de Tesla Gateway, waardoor root-toegang kon worden verkregen. De eerste prijs was $ 100,000 en een Tesla Model 3-auto, en de tweede prijs was $ 250,000.
De aanvallen maakten gebruik van de nieuwste stabiele versies van applicaties, browsers en besturingssystemen met alle beschikbare updates en standaardinstellingen. Het totale bedrag aan betaalde schadevergoeding was $ 1,035,000 en een auto. Het team met de meeste punten ontving $ 530,000 en een Tesla Model 3.
Ten slotte, als u geïnteresseerd bent om er meer over te weten, kunt u de details raadplegen In de volgende link.