Пвн2Овн је такмичење у хаковању одржава се годишње на безбедносној конференцији ЦанСецВест, почев од 2007. Учесници се суочавају са изазовом искоришћавања софтвера и мобилних уређаја широко се користи са до тада непознатим рањивостима.
Победници такмичења добијају уређај који су искористили, новчану награду и „МастерсПрослављајући годину своје победе. Назив „Пвн2Овн“ потиче из чињенице да учесници морају да „пронађу“ или хакују уређај како би га „поседовали“ или освојили.
Надметање Пвн2Овн се користи за демонстрацију рањивости широко коришћених уређаја и софтвера а такође пружа контролну тачку напретка постигнутог у безбедности од претходне године.
О Пвн2Овн 2020
У овом новом издању Пвн2Овн 2020, у овој години такмичења су се одржавала виртуелно и напади су се приказивали на мрежи, због проблема који су настали ширењем корнонавируса (Цовид-19), ово је први пут да сте организатор Иницијатива за нулти дан (ЗДИ), су одлучили да организују догађај омогућавајући учесницима да демонстрирају на даљину његови подвизи.
Током такмичења представљене су разне радне технике за искоришћавање рањивости раније непозната у Убунту Десктоп (Линук кернел), Виндовс, мацОС, Сафари, ВиртуалБок и Адобе Реадер.
Укупан износ уплата износио је 270 хиљада долара (Укупан наградни фонд био је преко 4 милиона америчких долара).
Укратко, резултати дводневног такмичења Пвн2Овн 2020, који се одржавају годишње на конференцији ЦанСецВест, су следећи:
-
- Током првог дана Пвн2Овн 2020, тим из Грузије Софтваре анд Сецурити Лаб Тецх Системс (@ССЛаб_Гатецх) Хакирање Сафарија са ескалацијом привилегија на нивоу мацОС-а и покрените калкулатор са роот привилегијама. Ланац напада обухватио је шест рањивости и омогућио тиму да заради 70,000 долара.
- Током догађаја Манфред Паул из „РедРоцкет-а“ био је задужен за демонстрацију ескалације локалних привилегија у Убунту Десктоп-у кроз искоришћавање рањивости у Линук језгру повезаном са нетачном верификацијом улазних вредности. То је довело до тога да је освојио награду од 30 долара.
- Такође демонстрација је направљена из напуштања гостињског окружења у ВиртуалБок-у и извршавања кода са правима хипервизораКоришћењем две рањивости: могућности читања података из подручја изван додељеног бафера и грешке при раду са неиницијализованим променљивим, награда за доказивање ове мане била је 40 америчких долара. Изван конкуренције, представници Зеро Даи Инитиативе такође су демонстрирали још један трик ВиртуалБок, који омогућава приступ систему хоста кроз манипулације у окружењу гостију.
- Две демонстрације локална ескалација привилегија у оперативном систему Виндовс искоришћавањем рањивости који воде до приступа већ ослобођеном подручју меморије, уз ове две награде од по 40 хиљада долара.
- Приступите администраторском приступу у оперативном систему Виндовс приликом отварања ПДФ документа посебно дизајниран у Адобе Реадер-у. Напад укључује рањивости у програму Ацробат и у Виндовс језгру повезане са приступом већ ослобођеним меморијским областима (награда од 50 УСД).
Преостале номинације за које није положено право пријављене су за хаковање Цхроме-а, Фирефок-а, Едге-а, Мицрософт Хипер-В клијента, Мицрософт Оффице-а и Мицрософт Виндовс РДП-а.
Такође је био покушај хаковања ВМваре Воркстатион, али покушај је био неуспешан. Као и прошле године, хаковање већине отворених пројеката (нгинк, ОпенССЛ, Апацхе хттпд) није ушло у категорије награда.
Одвојено, можемо погледати питање хаковања информационих система аутомобила Тесла.
Није било покушаја хаковања Тесле на такмичењу.а, упркос максималној премији од 700 хиљада долара, али постојале су одвојене информације о откривању рањивости ДоС (ЦВЕ-2020-10558) у Теслином моделу 3, који омогућава онемогућавање посебно дизајниране странице у уграђеним обавештењима аутопилота прегледача и прекид рада компоненти попут брзиномера, навигатора, клима уређаја, навигационог система итд.
izvor: https://www.thezdi.com/