Faz pouco os resultados do os três dias de competição Pwn2Own 2021, realizada anualmente como parte da conferência CanSecWest.
Como no ano anterior, as competições foram realizadas virtualmente e os ataques foram demonstrados online. Dos 23 alvos, técnicas operacionais para explorar vulnerabilidades anteriormente desconhecidas foram demonstradas para Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams e Zoom.
Em todos os casos, as versões mais recentes do software foram testadas, incluindo todas as atualizações disponíveis. O valor total dos pagamentos foi de um milhão e duzentos mil dólares americanos.
Na competição, três tentativas foram feitas para explorar vulnerabilidades no Ubuntu das quais a primeira e a segunda tentativas foram contadas e os invasores foram capazes de demonstrar a escalada dos privilégios locais por meio da exploração de vulnerabilidades anteriormente desconhecidas relacionadas a estouros de buffer e liberação dupla de memória (na qual os componentes do problema ainda não foram relatados e os desenvolvedores têm 90 dias para corrigir os bugs até que os dados sejam divulgados).
Dessas vulnerabilidades que foram demonstradas para o Ubuntu, bônus de $ 30,000 foram pagos.
A terceira tentativa, feita por outra equipe na categoria de abuso de privilégios locais, foi apenas parcialmente bem-sucedido: a exploração funcionou e permitiu obter acesso root, mas o ataque não foi totalmente creditado, como o bug associado à vulnerabilidade já foi catalogado e era conhecido pelos desenvolvedores do Ubuntu e uma atualização com uma correção estava sendo preparada.
também um ataque bem-sucedido foi demonstrado para navegadores com tecnologia Chromium: Google Chrome e Microsoft Edge, destes um bônus de $ 100,000 foi pago para a criação de um exploit que permite que o código seja executado quando você abre uma página especialmente projetada no Chrome e Edge (um exploit universal foi criado para ambos os navegadores).
No caso desta vulnerabilidade, menciona-se que se espera que a correção seja publicada nas próximas horas, sabendo-se apenas que a vulnerabilidade está presente no processo responsável pelo processamento do conteúdo web (renderer).
Por outro lado, 200 mil dólares foram pagos em Zoom e foi mostrado que o aplicativo Zoom pode ser hackeado executando algum código enviar uma mensagem para outro usuário, não há necessidade de qualquer ação por parte do destinatário. O ataque usou três vulnerabilidades no Zoom e uma no sistema operacional Windows.
Um bônus de $ 40,000 também foi dado por três operações bem-sucedidas do Windows 10 nas quais vulnerabilidades relacionadas ao estouro de inteiros, acesso à memória já liberada e condições de corrida que permitiram a obtenção de privilégios de SISTEMA foram demonstradas).
Outra tentativa que foi mostrado, mas neste caso não teve sucesso foi para o VirtualBox, que permaneceu dentro das recompensas junto com Firefox, VMware ESXi, cliente Hyper-V, MS Office 365, MS SharePoint, MS RDP e Adobe Reader que permaneceram não reclamados.
Também não havia pessoas dispostas a demonstrar a invasão do sistema de informação automotiva Tesla, apesar do prêmio de US $ 600 mais o carro Tesla Model 3.
Dos outros prêmios que foram premiados:
- $ 200 para descriptografar o Microsoft Exchange (ignorando a autenticação e o escalonamento de privilégios locais no servidor para obter direitos de administrador). Outra equipe viu outra exploração bem-sucedida, mas o segundo prêmio não foi pago, pois a primeira equipe já usou os mesmos bugs.
- 200 mil dólares em hackear equipamentos Microsoft (execução de código no servidor).
- $ 100 para operação do Apple Safari (estouro de inteiro no Safari e estouro de buffer no kernel do macOS para evitar sandbox e executar código no nível do kernel).
- 140,000 para hackear o Parallels Desktop (efetuar logout da máquina virtual e executar o código no sistema principal). O ataque foi realizado explorando três vulnerabilidades diferentes: vazamento de memória não inicializada, estouro de pilha e estouro de inteiro.
- Dois prêmios de $ 40 por hacks do Parallels Desktop (erro lógico e estouro de buffer que permitiu que o código fosse executado em um sistema operacional externo por meio de ações em uma máquina virtual).