recent s-au făcut cunoscuți printr-o postare pe blog rezultatele celor trei zile ale competiției Pwn2Own 2022, care are loc anual ca parte a conferinței CanSecWest.
In editia din acest an S-a demonstrat că tehnicile funcționează pentru exploatarea vulnerabilităților necunoscut anterior pentru Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams și Firefox. În total, au fost demonstrate 25 de atacuri reușite și trei încercări s-au încheiat cu eșec. Atacurile au folosit cele mai recente versiuni stabile de aplicații, browsere și sisteme de operare cu toate actualizările disponibile și cu setări implicite. Suma totală a remunerației plătite a fost de 1.155.000 USD.
Pwn2Own Vancouver până în 2022 este în desfășurare, iar la cea de-a 15-a aniversare a concursului a fost deja expusă niște cercetări incredibile. Rămâneți pe acest blog pentru rezultate actualizate, imagini și videoclipuri de la eveniment. Vom posta totul aici, inclusiv cel mai recent clasament Master of Pwn.
Competiția a demonstrat cinci încercări reușite de a exploata vulnerabilități necunoscute anterior în Ubuntu Desktop, realizat de diferite echipe de participanți.
a fost premiat cu a Premiu de 40,000 USD pentru demonstrarea creșterii privilegiilor locale în Ubuntu Desktop prin exploatarea a două probleme de depășire a memoriei tampon și de dublă eliberare. Patru bonusuri, în valoare de 40,000 USD fiecare, au fost plătite pentru demonstrarea creșterii privilegiilor prin exploatarea vulnerabilităților legate de accesul la memorie după ce a fost lansat (Use-After-Free).
SUCCES – Keith Yeo ( @kyeojy ) a câștigat 40 USD și 4 puncte Master of Pwn pentru un exploit Use-After-Free pe Ubuntu Desktop.
Ce componente ale problemei nu sunt încă raportate, conform condițiilor competiției, informații detaliate despre toate vulnerabilitățile demonstrate de 0 zile vor fi publicate abia după 90 de zile, care sunt date pentru pregătirea actualizărilor de către producători pentru a elimina vulnerabilitățile.
SUCCES – În ultima încercare din ziua 2, Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) și Xinyu Xing (@xingxinyu) de la echipa TUTELARY a Universității Northwestern au demonstrat cu succes o eroare Use After Free care a condus la creșterea privilegiilor în Ubuntu Desktop. Acest lucru vă aduce 40,000 USD și 4 puncte Master of Pwn.
Echipa Orca of Sea Security (security.sea.com) a reușit să ruleze 2 erori pe desktopul Ubuntu: un Out-of-Bounds Write (OOBW) și Use-After-Free (UAF), câștigând 40,000 USD și 4 puncte Master of Pwn .
SUCCES: Echipa Orca of Sea Security (security.sea.com) a reușit să ruleze 2 erori pe Ubuntu Desktop: un Out-of-Bounds Write (OOBW) și Use-After-Free (UAF), câștigând 40,000 USD și 4 Master of Pwn puncte.
Dintre celelalte atacuri care ar putea fi efectuate cu succes, putem aminti următoarele:
- 100 de mii de dolari pentru dezvoltarea unui exploit pentru Firefox, care a permis, prin deschiderea unei pagini special concepute, să eludeze izolarea sandbox-ului și să execute cod în sistem.
- 40,000 USD pentru demonstrarea unui exploit care profită de o depășire a tamponului în Oracle Virtualbox pentru a deconecta un invitat.
- 50,000 USD pentru rularea Apple Safari (buffer overflow).
- 450,000 USD pentru hack-uri Microsoft Teams (diferitele echipe au demonstrat trei hack-uri cu o recompensă de
- 150,000 USD fiecare).
- 80,000 USD (două bonusuri de 40,000 USD) pentru a profita de depășirile de buffer și de escaladarea privilegiilor în Microsoft Windows 11.
- 80,000 USD (două bonusuri de 40,000 USD) pentru a exploata o eroare în codul de verificare a accesului pentru a vă crește privilegiile în Microsoft Windows 11.
- 40 USD pentru a exploata depășirea întregului pentru a vă crește privilegiile în Microsoft Windows 11.
- 40,000 USD pentru exploatarea unei vulnerabilități Use-After-Free în Microsoft Windows 11.
- 75,000 USD pentru demonstrarea unui atac asupra sistemului de infotainment al unei mașini Tesla Model 3. Exploatarea a folosit depășirea tamponului și erori duble gratuite, împreună cu o tehnică de bypass sandbox cunoscută anterior.
Nu în ultimul rând, se menționează că în cele două zile de competiție eșecurile care au apărut în ciuda celor trei încercări de hacking permise, sunt următoarele: Microsoft Windows 11 (6 hack-uri reușite și 1 eșuat), Tesla (1 hack reușit și 1 eșuat). ) și Microsoft Teams (3 hack-uri reușite și 1 eșuat). Nu au existat cereri de demonstrare a exploatărilor în Google Chrome anul acesta.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, Puteți verifica detaliile în postarea inițială la următorul link.