recent rezultatele cele trei zile de concurs Pwn2Own 2021, organizat anual ca parte a conferinței CanSecWest.
Ca și în anul precedent, concursurile s-au desfășurat virtual iar atacurile au fost demonstrate online. Dintre cele 23 de ținte, s-a demonstrat că tehnicile operaționale exploatează vulnerabilități necunoscute anterior pentru Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams și Zoom.
În toate cazurile, au fost testate cele mai recente versiuni de software, inclusiv toate actualizările disponibile. Suma totală a plăților s-a ridicat la un milion două sute de mii de dolari SUA.
In competitie, au fost făcute trei încercări de a exploata vulnerabilitățile din Ubuntu dintre care s-au numărat prima şi a doua încercare şi atacatorii au putut demonstra o escaladare locală a privilegiilor prin exploatarea vulnerabilităților necunoscute anterior legate de depășirile de buffer și eliberarea duble a memoriei (în care componentele problemei nu au fost încă raportate și dezvoltatorii au 90 de zile pentru a remedia erorile până când datele sunt dezvăluite).
Dintre aceste vulnerabilități care au fost demonstrate pentru Ubuntu, au fost plătite bonusuri de 30,000 USD.
A treia încercare, făcută de o altă echipă la categoria abuz de privilegii locale, a avut succes doar parțial: exploit-ul a funcționat și a permis accesul root, dar atacul nu a fost pe deplin creditat, întrucât Eroarea asociată cu vulnerabilitatea a fost deja catalogată și era cunoscut de dezvoltatorii Ubuntu și se pregătea o actualizare cu o remediere.
de asemenea Atacul de succes a fost demonstrat pentru browserele bazate pe Chromium: Google Chrome și Microsoft Edge, dintre acestea un bonus de 100,000 USD a fost plătit pentru crearea unui exploit care permite executarea codului atunci când deschideți o pagină special concepută în Chrome și Edge (a fost creat un exploit universal pentru cele două browsere).
În cazul acestei vulnerabilități, se menționează că remedierea este programată să fie publicată în următoarele ore, în timp ce se știe doar că vulnerabilitatea este prezentă în procesul care este responsabil de procesarea conținutului web (renderer).
Pe de altă parte, 200 de mii de dolari au fost plătiți în Zoom și S-a demonstrat că aplicația Zoom poate fi piratată prin executarea unui cod trimiterea unui mesaj către alt utilizator, fără a necesita nicio acțiune din partea destinatarului. Atacul a folosit trei vulnerabilități în Zoom și una în sistemul de operare Windows.
Un bonus de 40,000 USD a fost acordat și pentru trei operațiuni de succes Windows 10 în care au fost demonstrate vulnerabilități legate de depășirea numerelor întregi, accesul la memoria deja eliberată și condițiile de cursă care au permis obținerea privilegiilor SYSTEM).
O altă încercare ceea ce a fost dovedit, dar în acest caz nu a avut succes, a fost pentru VirtualBox, care a fost inclus în recompense împreună cu Firefox, VMware ESXi, client Hyper-V, MS Office 365, MS SharePoint, MS RDP și Adobe Reader care au rămas nerevendicate.
De asemenea, nu au existat persoane dispuse să demonstreze piratarea sistemului informatic al mașinii Tesla, în ciuda premiului de 600 de mii de dolari plus mașina Tesla Model 3.
Dintre celelalte premii care au fost premiate:
- 200 USD pentru spargerea Microsoft Exchange (ocolirea autentificarea și escaladarea privilegiilor locale pe server pentru a obține drepturi de administrator). O altă echipă i s-a arătat un alt exploit de succes, dar premiul al doilea nu a fost plătit, prima echipă a folosit deja aceleași bug-uri.
- 200 de mii de dolari pentru hacking echipament Microsoft (executarea codului pe server).
- 100 de mii de dolari pentru operațiunea Apple Safari (întreger overflow în Safari și buffer overflow în kernel-ul macOS pentru a evita sandbox-ul și a executa codul la nivel de kernel).
- 140,000 pentru piratarea Parallels Desktop (deconectarea de la mașina virtuală și rularea codului pe sistemul principal). Atacul a fost efectuat prin exploatarea a trei vulnerabilități diferite: scurgere de memorie neinițializată, depășire a stivei și depășire a numărului întreg.
- Două premii de 40 USD pentru hack-uri Parallels Desktop (eroare logică și depășire a memoriei tampon care au permis codului să ruleze pe un sistem de operare extern prin acțiuni într-o mașină virtuală).