Pwn2Own 2033 foi realizado em Vancouver
Faz pouco os resultados do os três dias de competição Pwn2own 2023., que é realizado anualmente como parte da conferência CanSecWest em Vancouver.
Nesta nova edição demonstraram que as técnicas funcionam para explorar vulnerabilidades anteriormente desconhecido para Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint e para veículos Tesla.
Um total de 27 ataques bem-sucedidos foram demonstrados que exploravam vulnerabilidades anteriormente desconhecidas.
Para quem não conhece o Pwn2Own, saiba que este é um evento global de hackers organizado pela Trend Micro Zero-Day Initiative (ZDI), que acontece desde 2005. Nele, algumas das melhores equipes de hackers competem contra alvos tecnológicos .defaults e uns aos outros, usando explorações de 'dia zero'.
Esses caçadores de recompensas de elite e pesquisadores de segurança têm um limite de tempo estrito para 'pwn' com sucesso os alvos em questão. O sucesso é recompensado com pontos sendo adicionados a uma tabela de classificação Masters of Pwn, e elogios a Pwn2Own não devem ser subestimados, pois a natureza competitiva é forte aqui, bem como pagamentos impressionantes. No total, Pwn2Own Vancouver 2023 tem um prêmio de mais de $ 1 milhão.
O primeiro a cair foi o Adobe Reader na categoria de aplicativos de negócios depois de Abdul Aziz Hariri (@abdhariri) da Haboob SA utilizou uma rede de façanhas visando uma cadeia lógica de 6 bugs que abusou de vários patches com falha que escaparam do Sandbox e contornaram uma lista de APIs proibidas no macOS para ganhar $ 50.000.
Em competição demonstrou cinco tentativas bem-sucedidas de explodir vulnerabilidades anteriormente desconhecidas em área de trabalho Ubuntu, por diferentes equipes de participantes.
Os problemas foram causados pela dupla liberação de memória (um bônus de $ 30), o acesso à memória depois de livre (um bônus de $ 30), manuseio incorreto do ponteiro (um bônus de $ 30). Em duas demos, já conhecidas, mas não corrigidas, foram utilizadas vulnerabilidades (dois bônus de 15 mil dólares). Além disso, uma sexta tentativa de ataque ao Ubuntu foi feita, mas o exploit não funcionou.
Sobre os componentes do problema ainda não foram relatados, de acordo com os termos da competição, informações detalhadas sobre todas as vulnerabilidades de dia zero demonstradas serão publicadas somente após 90 dias, que são fornecidas para a preparação de atualizações pelos fabricantes para eliminar vulnerabilidades.
Sobre as outras demonstrações de ataques bem-sucedidos, o seguinte é mencionado:
- Três hacks do Oracle VirtualBox explorando vulnerabilidades causadas por vulnerabilidades de acesso à memória após liberação, estouro de buffer e leitura de buffer (dois bônus de $ 40 e bônus de $ 80 por explorar 3 vulnerabilidades que permitiram a execução de código no lado do host).
- MacOS Elevation da Apple ($ 40K Premium).
- Dois ataques ao Microsoft Windows 11 que lhes permitiram aumentar seus privilégios (bônus de $ 30.000).
- As vulnerabilidades foram causadas por acesso de memória pós-livre e validação de entrada incorreta.
- Ataque ao Microsoft Teams usando uma cadeia de dois bugs na exploração (prêmio de US$ 75,000).
- Ataque ao Microsoft SharePoint (bônus de $ 100,000).
- Ataque na estação de trabalho VMWare acessando a memória livre e uma variável não inicializada (prêmio de $ 80).
- Execução de código durante a renderização de conteúdo no Adobe Reader. Uma cadeia complexa de 6 erros foi usada para atacar, ignorar a caixa de areia e acessar a API banida (prêmio de $ 50,000).
Dois ataques ao sistema de infoentretenimento do carro Tesla e Tesla Gateway, permitindo obter acesso root. O primeiro prêmio foi de $ 100,000 e um carro Tesla Model 3, e o segundo prêmio foi de $ 250,000.
Os ataques usaram as últimas versões estáveis de aplicativos, navegadores e sistemas operacionais com todas as atualizações disponíveis e configurações padrão. O valor total da indenização paga foi de $ 1,035,000 e um carro. A equipe com mais pontos recebeu $ 530,000 e um Tesla Model 3.
Por fim, se você tiver interesse em saber mais sobre o assunto, pode consultar os detalhes no link a seguir.