La Pwn2Own 2023 au prezentat cu succes 5 hack-uri Ubuntu

Darkcrizt

Minute 4

Pwn2Own 2023

Pwn2Own 2033 a avut loc la Vancouver

recent rezultatele cele trei zile de concurs Pwn2Own 2023, care are loc anual ca parte a conferinței CanSecWest din Vancouver.

În această nouă ediție S-a demonstrat că tehnicile funcționează pentru exploatarea vulnerabilităților necunoscut anterior pentru Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint și pentru vehiculele Tesla.

Au fost demonstrate un total de 27 de atacuri reușite care a exploatat vulnerabilități necunoscute anterior.

Pentru cei care nu sunt familiarizați cu Pwn2Own, trebuie să știți că acesta este un eveniment global de hacking organizat de Trend Micro Zero-Day Initiative (ZDI), care are loc din 2005. În cadrul acestuia, unele dintre cele mai bune echipe de hacking concurează împotriva țintelor tehnologice. . implicite și reciproc, folosind exploit-uri „zero-day”.

Acești vânători de recompense și cercetători de securitate de elită au hackeri au o limită de timp strictă pentru a „pwn” cu succes țintele în cauză. Succesul este răsplătit atât prin adăugarea de puncte la clasamentul Masters of Pwn, iar felicitările pentru Pwn2Own nu trebuie subestimate, deoarece natura competitivă este puternică aici, precum și plăți impresionante. În total, Pwn2Own Vancouver 2023 are un fond de premii de peste 1 milion de dolari.

Primul care a căzut a fost Adobe Reader în categoria aplicații de afaceri după Abdul Aziz Hariri (@abdhariri) de la Haboob SA a folosit un lanț de exploit vizează un lanț logic cu 6 erori care a abuzat de mai multe patch-uri eșuate care au scăpat din Sandbox și a ocolit o listă de API-uri interzise în macOS pentru a câștiga 50.000 USD.

În competiție a demonstrat cinci încercări reușite de a exploda vulnerabilități necunoscute anterior în Desktop Ubuntu, realizate de diferite echipe de participanți.

Problemele au fost cauzate de dubla eliberare a memoriei (un bonus de 30 USD), the acces la memorie după eliberare (un bonus de 30 USD), manipularea incorectă a indicatorului (un bonus de 30 USD). În două demonstrații, deja cunoscute, dar neremediate, au fost folosite vulnerabilități (două bonusuri de 15 mii de dolari). În plus, a fost făcută o a șasea încercare de a ataca Ubuntu, dar exploitul nu a funcționat.

Despre componentele problemei nu sunt încă raportate, conform condițiilor competiției, informații detaliate despre toate vulnerabilitățile demonstrate zero day vor fi publicate abia după 90 de zile, care sunt date pentru pregătirea actualizărilor de către producători pentru eliminarea vulnerabilităților.

Despre celelalte demonstrații din atacurile de succes se menționează următoarele:

  • Trei hack-uri Oracle VirtualBox care exploatează vulnerabilități cauzate de Accesul la memorie după Vulnerabilități gratuite, Buffer Overflow și Read Out of Buffer (două bonusuri de 40 USD și bonus de 80 USD pentru exploatarea a 3 vulnerabilități care au permis executarea codului pe partea gazdă).
  • MacOS Elevation de la Apple (40 USD Premium).
  • Două atacuri asupra Microsoft Windows 11 care le-au permis să-și mărească privilegiile (bonusuri de 30.000 USD).
  • Vulnerabilitățile au fost cauzate de accesul post-liber la memorie și validarea incorectă a intrărilor.
  • Atacul asupra echipelor Microsoft folosind un lanț de două erori în exploit (premium de 75,000 USD).
  • Atacul asupra Microsoft SharePoint (bonus de 100,000 USD).
  • Atacul asupra stației de lucru VMWare prin accesarea memoriei libere și a unei variabile neinițializate (80 USD premium).
  • Execuția codului în timpul redării conținutului în Adobe Reader. Un lanț complex de 6 erori a fost folosit pentru a ataca, a ocoli sandbox-ul și a accesa API-ul interzis (premiu de 50,000 USD).

Două atacuri asupra sistemului de infotainment auto Tesla și Tesla Gateway, permițând obținerea accesului root. Premiul întâi a fost de 100,000 de dolari și o mașină Tesla Model 3, iar premiul al doilea a fost de 250,000 de dolari.

Atacurile au folosit cele mai recente versiuni stabile de aplicații, browsere și sisteme de operare cu toate actualizările disponibile și setările implicite. Valoarea totală a despăgubirilor plătite a fost de 1,035,000 de dolari și o mașină. Echipa cu cele mai multe puncte a primit 530,000 de dolari și un Tesla Model 3.

În cele din urmă, dacă sunteți interesat să aflați mai multe despre aceasta, puteți consulta detaliile În următorul link.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.