Pwn2Own - это хакерский конкурс проводится ежегодно на конференции по безопасности CanSecWest, начиная с 2007 года. Участники сталкиваются с проблемой использования программного обеспечения и мобильных устройств. широко используется с неизвестными ранее уязвимостями.
Победители конкурса получают устройство, которое они использовали, денежный приз и знак «Мастера».Празднование года его победы. Название «Pwn2Own» происходит от того факта, что участники должны «взломать» или взломать устройство, чтобы «владеть» им или выиграть его.
Конкурс Pwn2Own используется для демонстрации уязвимости широко используемых устройств и программного обеспечения. кроме того, он позволяет отслеживать прогресс, достигнутый в области безопасности с прошлого года.
О Pwn2Own 2020
В этом новом выпуске Pwn2Own 2020 в этом году соревнования проводились виртуально, а атаки показывались онлайниз-за проблем, вызванных распространением корнонавируса (Covid-19), быть вашим организатором впервые Инициатива нулевого дня (ZDI), решили организовать мероприятие позволяя участникам продемонстрировать удаленно его подвиги.
Во время конкурса представлены различные приемы работы по эксплуатации уязвимостей ранее неизвестный в Ubuntu Desktop (Ядро Linux), Windows, macOS, Safari, VirtualBox и Adobe Reader.
Общая сумма выплат составила 270 тысяч долларов. (Общий призовой фонд составил более 4 миллионов долларов США).
Подведем итоги двух дней конкурса. Pwn2Own 2020, ежегодно проводимый на конференции CanSecWest, включает в себя:
-
- В первый день Pwn2Own 2020 команда Лаборатории программного обеспечения и безопасности Джорджии Технические Системы (@SSLab_Gatech) Взлом Safari с повышением привилегий на уровне ядра macOS и запустите калькулятор с привилегиями root. Цепочка атак включала шесть уязвимостей и позволила команде заработать 70,000 XNUMX долларов.
- Во время мероприятия Манфред Пол из RedRocket отвечал за демонстрацию повышения локальных привилегий в Ubuntu Desktop. за счет эксплуатации уязвимости в ядре Linux, связанной с некорректной проверкой входных значений. Это привело к тому, что он выиграл приз в размере 30 XNUMX долларов.
- также была продемонстрирована выход из гостевой среды в VirtualBox и выполнение кода с правами гипервизора.При использовании двух уязвимостей: возможности чтения данных из области за пределами выделенного буфера и ошибки при работе с неинициализированными переменными приз за доказательство этой уязвимости составил 40 XNUMX долларов. Вне конкурса представители Zero Day Initiative продемонстрировали еще один трюк VirtualBox, позволяющий получить доступ к хост-системе посредством манипуляций в гостевой среде.
- Две демонстрации локальное повышение привилегий в Windows за счет эксплуатации уязвимостей которые ведут к доступу к уже освобожденной области памяти, при этом были присуждены два приза по 40 тысяч долларов каждый.
- Получите доступ администратора в Windows при открытии PDF-документа специально разработан в Adobe Reader. Атака связана с уязвимостями в Acrobat и ядре Windows, связанными с доступом к уже освобожденным областям памяти (приз в размере 50 XNUMX долларов США).
Остальные невостребованные номинации были направлены за взлом Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office и Microsoft Windows RDP.
Также была попытка взломать VMware Workstation, но попытка не увенчалась успехом. Как и в прошлом году, взлом большинства открытых проектов (nginx, OpenSSL, Apache httpd) в награды не попал.
Отдельно можно рассмотреть вопрос о взломе автомобильных информационных систем Tesla.
Попыток взломать Tesla на конкурсе не было.a, несмотря на максимальную премию в $ 700 тыс., но появилась отдельная информация об обнаружении DoS-уязвимости (CVE-2020-10558) в Tesla Model 3, что позволяет отключить специально разработанную страницу во встроенных уведомлениях автопилота браузера и прервать работу таких компонентов, как спидометр, навигатор, кондиционер, навигационная система и т. Д.
источник: https://www.thezdi.com/