nylig resultatene av de tre konkurransedagene Pwn2Own 2021, avholdes årlig som en del av CanSecWest-konferansen.
Som året før ble konkurransene holdt virtuelt og angrepene ble demonstrert online. Av de 23 målene er det demonstrert operasjonelle teknikker for å utnytte tidligere ukjente sårbarheter for Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams og Zoom.
I alle tilfeller ble de nyeste programvareversjonene testet, inkludert alle tilgjengelige oppdateringer. Den totale betalingen var en million to hundre tusen amerikanske dollar.
I konkurransen, tre forsøk ble gjort for å utnytte sårbarheter i Ubuntu hvorav første og andre forsøk ble telt og angriperne var i stand til å demonstrere opptrappingen av lokale privilegier gjennom å utnytte tidligere ukjente sårbarheter relatert til bufferoverløp og dobbel minnefrihet (der problemkomponentene ennå ikke er rapportert og utviklere får 90 dager til å fikse feil til dataene blir avslørt).
Av disse sårbarhetene som ble demonstrert for Ubuntu, bonuser på $ 30,000 ble betalt.
Det tredje forsøket, gjort av et annet team i kategorien misbruk av lokale privilegier, det var bare delvis vellykket: utnyttelsen fungerte og fikk lov til å få root-tilgang, men angrepet ble ikke fullstendig kreditert, som feilen knyttet til sårbarheten var allerede katalogisert og det var kjent for Ubuntu-utviklere, og en oppdatering med en løsning ble forberedt.
Også et vellykket angrep er demonstrert for nettlesere med Chromium-teknologi: Google Chrome og Microsoft Edge, av disse ble en bonus på $ 100,000 betalt for å lage en utnyttelse som gjør at kode kan utføres når du åpner en spesialdesignet side i Chrome og Edge (en universell utnyttelse ble opprettet for begge nettlesere).
Når det gjelder dette sårbarheten, nevnes det at korreksjonen forventes å bli publisert i løpet av de neste timene, mens det bare er kjent at sårbarheten er tilstede i prosessen som er ansvarlig for behandling av nettinnholdet (gjengiveren).
På den annen side ble 200 tusen dollar betalt i Zoom og det ble vist at Zoom-appen kan bli hacket ved å utføre noen kode sende en melding til en annen bruker, ikke behov for handling fra mottakerens side. Angrepet brukte tre sårbarheter i Zoom og ett i Windows-operativsystemet.
En bonus på $ 40,000 ble også gitt for tre vellykkede Windows 10-operasjoner der det ble påvist sårbarheter relatert til heltalloverløp, tilgang til minne som allerede var frigjort og løpsforhold som tillot å få SYSTEM-rettigheter).
Nok et forsøk som ble vist, men i dette tilfellet mislyktes var for VirtualBox, som holdt seg innenfor belønningen sammen med Firefox, VMware ESXi, Hyper-V-klient, MS Office 365, MS SharePoint, MS RDP og Adobe Reader som forble uanmeldt.
Det var heller ingen mennesker som var villige til å demonstrere hackingen av Tesla-bilinformasjonssystemet, til tross for $ 600 3-prisen pluss Tesla Model XNUMX-bilen.
Av de andre prisene som ble tildelt:
- $ 200 XNUMX for dekryptering av Microsoft Exchange (omgå autentisering og opptrapping av lokale privilegier på serveren for å få administratorrettigheter). Et annet lag ble vist en annen vellykket utnyttelse, men andreprisen ble ikke utbetalt ettersom førstelaget allerede brukte de samme feilene.
- 200 tusen dollar i hacking av Microsoft-utstyr (kodeutførelse på serveren).
- $ 100 XNUMX for Apple Safari-drift (heltalloverløp i Safari og bufferoverløp i macOS-kjerne for å unngå sandkasting og utføre kodenivåkode).
- 140,000 XNUMX for hacking av Parallels Desktop (logging av den virtuelle maskinen og kjøring av koden på hovedsystemet). Angrepet ble utført ved å utnytte tre forskjellige sårbarheter: uinitialisert minnelekkasje, stackoverløp og heltalloverløp.
- To $ 40 XNUMX premier for Parallels Desktop-hacks (logikkfeil og bufferoverløp som tillot kode å kjøre på et eksternt operativsystem gjennom handlinger i en virtuell maskin).