Pwn2Own er en hackingkonkurranse avholdes årlig på CanSecWest sikkerhetskonferanse, startende i 2007. Deltakerne står overfor utfordringen med å utnytte programvare og mobile enheter mye brukt med hittil ukjente sårbarheter.
Konkurransevinnere mottar enheten de utnyttet, en pengepremie og en “MastersFeirer året for seieren hans. Navnet "Pwn2Own" er avledet av at deltakerne må "pwn" eller hacke enheten for å "eie" eller vinne den.
Konkurransen Pwn2Own brukes til å demonstrere sårbarheten til mye brukte enheter og programvare og det gir også et kontrollpunkt på fremdriften i sikkerhet siden året før.
Om Pwn2Own 2020
I denne nye utgaven av Pwn2Own 2020, i år konkurranser ble holdt virtuelt og angrep ble vist online, på grunn av problemene som har blitt generert av spredningen av Cornonavirus (Covid-19), å være dette første gang arrangøren din Zero Day Initiative (ZDI), har bestemt meg for å organisere arrangementet slik at deltakerne kan demonstrere eksternt hans bedrifter.
Under konkurransen ulike arbeidsteknikker ble presentert for å utnytte sårbarheter tidligere ukjent i Ubuntu Desktop (Linux-kjernen), Windows, macOS, Safari, VirtualBox og Adobe Reader.
Det totale beløpet på betalingene utgjorde 270 tusen dollar (Total premiepott var over $ 4 millioner).
Oppsummert resultatene av to dager av konkurransen Pwn2Own 2020 avholdes årlig på CanSecWest-konferansen:
-
- I løpet av den første dagen i Pwn2Own 2020, et team fra Georgia Software and Security Lab Tekniske systemer (@SSLab_Gatech) Safari-hack med eskalering av privilegier på kjernnivå og start kalkulatoren med rotprivilegier. Angrepskjeden involverte seks sårbarheter og tillot teamet å tjene $ 70,000.
- Under arrangementet Manfred Paul fra "RedRocket" hadde ansvaret for å demonstrere opptrappingen av lokale privilegier i Ubuntu Desktop gjennom utnyttelse av et sårbarhet i Linux-kjernen assosiert med feil bekreftelse av inngangsverdier. Dette førte til at han vant en premie på $ 30.
- også demonstrasjonen av å forlate et gjestemiljø i VirtualBox og utføre kode med rettighetene til en hypervisor ble utførtVed å utnytte to sårbarheter: muligheten til å lese data fra et område utenfor den tildelte bufferen og en feil når du arbeider med uinitialiserte variabler, var prisen for å bevise denne feilen $ 40. Utenfor konkurransen demonstrerte representanter fra Zero Day Initiative også et annet VirtualBox-triks, som gir tilgang til vertssystemet gjennom manipulasjoner i gjestemiljøet.
- To demonstrasjoner av opptrapping av lokalt privilegium i Windows ved å utnytte sårbarheter som førte til tilgang til et allerede frigjort minneområde, med disse to premiene på 40 tusen dollar hver.
- Få administratortilgang i Windows når du åpner et PDF-dokument spesialdesignet i Adobe Reader. Angrepet involverer sårbarheter i Acrobat og i Windows-kjernen relatert til tilgang til allerede frigjorte minneområder ($ 50 XNUMX premie).
De gjenværende ikke-krevde nominasjonene ble henvist for hacking av Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office og Microsoft Windows RDP.
Det var også et forsøk på å hacke VMware Workstation, men forsøket lyktes ikke. Som i fjor gikk hackingen av de fleste av de åpne prosjektene (nginx, OpenSSL, Apache httpd) ikke inn i tildelingskategoriene.
Separat kan vi se på problemet med hacking av Tesla-bilinformasjonssystemer.
Det var ingen forsøk på å hacke Tesla i konkurransen.a, til tross for den maksimale premien på $ 700 XNUMX, men det var egen informasjon om DoS-sårbarhetsdeteksjon (CVE-2020-10558) i Tesla Model 3, som gjør det mulig å deaktivere en spesialdesignet side i den innebygde nettleserens autopilotvarsler og avbryte driften av komponenter som hastighetsmåler, navigator, klimaanlegg, navigasjonssystem, etc.
Fuente: https://www.thezdi.com/