Pwn2Own 2020 werd online gebracht vanwege Covid-19 en er werden hacks getoond voor Ubuntu, Virtualbox en meer

Darkcrizt

4 minuten

Pwn2Own is een hackwedstrijd wordt jaarlijks gehouden op de CanSecWest-veiligheidsconferentie, te beginnen in 2007. Deelnemers staan ​​voor de uitdaging om software en mobiele apparaten te exploiteren veel gebruikt met tot nu toe onbekende kwetsbaarheden.

Winnaars van de wedstrijd ontvangen het apparaat dat ze hebben geëxploiteerd, een geldprijs en een "MastersHet jaar van zijn overwinning vieren. De naam "Pwn2Own" is afgeleid van het feit dat deelnemers het apparaat moeten "pwnnen" of hacken om het te "bezitten" of te winnen.

De wedstrijd Pwn2Own wordt gebruikt om de kwetsbaarheid van veelgebruikte apparaten en software aan te tonen en het biedt ook een controlepunt over de vooruitgang die sinds het voorgaande jaar op het gebied van beveiliging is geboekt.

Over Pwn2Own 2020

In deze nieuwe editie van Pwn2Own 2020, in dit jaar wedstrijden werden virtueel gehouden en aanvallen werden online vertoond, vanwege de problemen die zijn veroorzaakt door de verspreiding van het Cornonavirus (Covid-19), omdat dit de eerste keer is dat uw organisator Zero Day-initiatief (ZDI), hebben besloten om het evenement te organiseren deelnemers laten demonstreren ver zijn heldendaden.

Tijdens de wedstrijd verschillende werktechnieken werden gepresenteerd om kwetsbaarheden te misbruiken voorheen onbekend in Ubuntu Desktop (Linux-kernel), Windows, macOS, Safari, VirtualBox en Adobe Reader.

Het totale bedrag van de betalingen bedroeg 270 duizend dollar (De totale prijzenpot was meer dan US $ 4 miljoen).

Samengevat de resultaten van twee dagen wedstrijd Pwn2Own 2020 dat jaarlijks wordt gehouden op de CanSecWest-conferentie is als volgt:

    • Tijdens de eerste dag van Pwn2Own 2020, een team van het Georgia Software and Security Lab Tech Systemen (@SSLab_Gatech) Safari-hack met escalatie van privileges op macOS-kernelniveau en start de rekenmachine met root-rechten. De aanvalsketen omvatte zes kwetsbaarheden en stelde het team in staat $ 70,000 te verdienen.
    • Tijdens het evenement Manfred Paul van "RedRocket" had de leiding over het demonstreren van de escalatie van lokale privileges in Ubuntu Desktop door het misbruiken van een kwetsbaarheid in de Linux-kernel die verband houdt met onjuiste verificatie van invoerwaarden. Hierdoor won hij een prijs van $ 30.
    • ook de demonstratie was gemaakt van het verlaten van een gastomgeving in VirtualBox en het uitvoeren van code met de rechten van een hypervisorDoor gebruik te maken van twee kwetsbaarheden: de mogelijkheid om gegevens uit een gebied buiten de toegewezen buffer te lezen en een fout bij het werken met niet-geïnitialiseerde variabelen, bedroeg de prijs voor het bewijzen van deze fout $ 40. Buiten de wedstrijd demonstreerden vertegenwoordigers van het Zero Day Initiative ook een andere VirtualBox-truc, die toegang tot het hostsysteem mogelijk maakt door middel van manipulaties in de gastomgeving.

  • Twee demonstraties van escalatie van lokale bevoegdheden in Windows door misbruik te maken van kwetsbaarheden die leidden tot toegang tot een reeds vrijgemaakt geheugengebied, waarmee twee prijzen van elk 40 duizend dollar werden uitgereikt.
  • Krijg beheerderstoegang in Windows bij het openen van een PDF-document speciaal ontworpen in Adobe Reader. De aanval betreft kwetsbaarheden in Acrobat en in de Windows-kernel met betrekking tot toegang tot reeds vrijgekomen geheugengebieden (prijs van $ 50).

De overige niet-opgeëiste nominaties werden doorverwezen voor het hacken van Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office en Microsoft Windows RDP.

Er was ook een poging om VMware Workstation te hacken, maar de poging was niet succesvol. Net als vorig jaar viel het hacken van de meeste open projecten (nginx, OpenSSL, Apache httpd) niet in de awardcategorieën.

Afzonderlijk kunnen we kijken naar het probleem van het hacken van auto-informatiesystemen van Tesla.

Er waren geen pogingen om Tesla in de competitie te hacken.a, ondanks de maximale premie van $ 700 duizend, maar er was aparte informatie over de detectie van DoS-kwetsbaarheden (CVE-2020-10558) in Tesla Model 3, waarmee u een speciaal ontworpen pagina in de ingebouwde automatische pilootmeldingen van de browser kunt uitschakelen en de werking van componenten zoals snelheidsmeter, navigator, airconditioning, navigatiesysteem, enz. Kunt onderbreken.

bron: https://www.thezdi.com/


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.