Pwn2Own je hekersko tekmovanje poteka vsako leto na konferenci o varnosti CanSecWest, začenši leta 2007. Udeleženci se soočajo z izzivom izkoriščanja programske opreme in mobilnih naprav se pogosto uporablja z doslej neznanimi ranljivostmi.
Zmagovalci natečaja prejmejo napravo, ki so jo izkoristili, denarno nagrado in nagrado »MojstriPraznovanje leta njegove zmage. Ime "Pwn2Own" izhaja iz dejstva, da morajo udeleženci napravo "zastaviti" ali vdreti v napravo, da jo "lastijo" ali osvojijo.
Tekmovanje Pwn2Own se uporablja za prikaz ranljivosti široko uporabljanih naprav in programske opreme zagotavlja tudi kontrolno točko o napredku na področju varnosti od prejšnjega leta.
O Pwn2Own 2020
V tej novi izdaji Pwn2Own 2020, v tem letu tekmovanja so potekala virtualno in napadi so bili prikazani na spletu, zaradi težav, ki so nastale zaradi širjenja kornonavirusa (Covid-19), to je prvič vaš organizator Pobuda Zero Day (ZDI), so se odločili organizirati dogodek udeležencem omogočiti demonstracijo na daljavo njegove podvige.
Med tekmovanjem predstavljene so bile različne delovne tehnike za izkoriščanje ranljivosti prej neznano v namizju Ubuntu (Jedro Linuxa), Windows, macOS, Safari, VirtualBox in Adobe Reader.
Skupni znesek plačil je znašal 270 tisoč dolarjev (Skupni nagradni sklad je presegel 4 milijone ameriških dolarjev).
Če povzamemo, rezultati dvodnevnega tekmovanja Pwn2Own 2020, ki se vsako leto odvijajo na konferenci CanSecWest, so naslednji:
-
- V prvem dnevu Pwn2Own 2020 je ekipa iz Laboratorija za programsko in varnostno opremo Georgia Tehnični sistemi (@SSLab_Gatech) Vdor v Safari s stopnjevanjem privilegij na ravni jedra macOS in zaženite kalkulator s korenskimi pravicami. Veriga napadov je vključevala šest ranljivosti in omogočila ekipi, da zasluži 70,000 USD.
- Med dogodkom Manfred Paul iz "RedRocket" je bil zadolžen za prikaz stopnjevanja lokalnih privilegijev v namizju Ubuntu z izkoriščanjem ranljivosti v jedru Linuxa, povezane z nepravilnim preverjanjem vhodnih vrednosti. Zaradi tega je osvojil nagrado v višini 30 USD.
- Tudi izveden je bil izhod iz gostujočega okolja v VirtualBoxu in izvajanje kode s pravicami hipervizorjaZ izkoriščanjem dveh ranljivosti: zmožnosti branja podatkov z območja zunaj dodeljenega vmesnega pomnilnika in napake pri delu z neinicializiranimi spremenljivkami je bila nagrada za dokazovanje te napake 40 USD. Izven konkurence so predstavniki Zero Day Initiative pokazali še en trik VirtualBox, ki omogoča dostop do gostiteljskega sistema z manipulacijami v gostujočem okolju.
- Dve demonstraciji stopnjevanje lokalnih privilegijev v sistemu Windows z izkoriščanjem ranljivosti ki vodijo do dostopa do že osvobojenega pomnilnika, s tem sta bili podeljeni dve nagradi po 40 tisoč dolarjev.
- Pri odpiranju dokumenta PDF pridobite skrbniški dostop v sistemu Windows posebej zasnovan v programu Adobe Reader. Napad vključuje ranljivosti v programu Acrobat in v jedru sistema Windows, povezane z dostopom do že osvobojenih pomnilniških prostorov (nagrada v višini 50 USD).
Preostale nezahtevane nominacije so bile napotene za vdore v Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office in Microsoft Windows RDP.
Izveden je bil tudi poskus vdora v delovno postajo VMware, vendar poskus ni bil uspešen. Tako kot lani tudi večina odprtih projektov (nginx, OpenSSL, Apache httpd) ni prišla v kategorije nagrajevanja.
Ločeno si lahko ogledamo vprašanje vdora v avtomobilske informacijske sisteme Tesla.
Na tekmovanju ni bilo nobenega poskusa vdora v Teslo.a, kljub največji premiji 700 tisoč dolarjev, vendar obstajali so ločeni podatki o odkrivanju ranljivosti DoS (CVE-2020-10558) v modelu Tesla 3, ki omogoča onemogočanje posebej zasnovane strani v vgrajenih obvestilih avtopilota brskalnika in prekinitev delovanja komponent, kot so merilnik hitrosti, navigator, klimatska naprava, navigacijski sistem itd.