Pwn2Own 2033 வான்கூவரில் நடைபெற்றது
சமீபத்தில் முடிவுகள் போட்டியின் மூன்று நாட்கள் Pwn2Own 2023, இது வான்கூவரில் நடக்கும் CanSecWest மாநாட்டின் ஒரு பகுதியாக ஆண்டுதோறும் நடத்தப்படுகிறது.
இந்த புதிய பதிப்பில் பாதிப்புகளைச் சுரண்டுவதற்கு வேலை செய்யும் நுட்பங்கள் நிரூபிக்கப்பட்டுள்ளன Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint மற்றும் Tesla வாகனங்களுக்கு முன்னர் அறியப்படவில்லை.
மொத்தம் 27 வெற்றிகரமான தாக்குதல்கள் நிரூபிக்கப்பட்டன அது முன்பின் தெரியாத பாதிப்புகளை பயன்படுத்திக் கொண்டது.
Pwn2Own பற்றி அறிமுகமில்லாதவர்களுக்கு, இது 2005 ஆம் ஆண்டு முதல் நடைபெற்று வரும் Trend Micro Zero-Day Initiative (ZDI) ஆல் ஏற்பாடு செய்யப்பட்ட உலகளாவிய ஹேக்கிங் நிகழ்வு என்பதை நீங்கள் அறிந்திருக்க வேண்டும். இதில், சில சிறந்த ஹேக்கிங் குழுக்கள் தொழில்நுட்ப இலக்குகளுக்கு எதிராக போட்டியிடுகின்றன. இயல்புநிலை மற்றும் ஒன்றுக்கொன்று, 'ஜீரோ-டே' சுரண்டல்களைப் பயன்படுத்துகிறது.
இந்த எலைட் ஹேக்கர் பவுண்டரி வேட்டைக்காரர்கள் மற்றும் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கேள்விக்குரிய இலக்குகளை வெற்றிகரமாக 'pwn' செய்ய கடுமையான கால வரம்பைக் கொண்டுள்ளனர். மாஸ்டர்ஸ் ஆஃப் Pwn லீடர்போர்டில் புள்ளிகள் சேர்க்கப்படுவதன் மூலம் வெற்றிக்கு வெகுமதி அளிக்கப்படுகிறது, மேலும் Pwn2Own இன் பெருமையை குறைத்து மதிப்பிடக்கூடாது, ஏனெனில் போட்டித் தன்மை இங்கு வலுவாக உள்ளது, அத்துடன் ஈர்க்கக்கூடிய பணம் செலுத்துகிறது. மொத்தத்தில், Pwn2Own Vancouver 2023 $1 மில்லியனுக்கும் அதிகமான பரிசு நிதியைக் கொண்டுள்ளது.
முதலில் விழுந்தது அடோப் ரீடர் அப்துல் அஜிஸ் ஹரிரிக்குப் பிறகு வணிக பயன்பாடுகள் பிரிவில் (@abdhariri) ஹபூப் எஸ்ஏ ஒரு சங்கிலியைப் பயன்படுத்தினார் சுரண்டப்படுகிறார்கள் 6-பிழை லாஜிக் சங்கிலியை இலக்காகக் கொண்டு, சாண்ட்பாக்ஸில் இருந்து தப்பிய பல தோல்வியுற்ற இணைப்புகளைத் தவறாகப் பயன்படுத்தியது மற்றும் $50.000 வெல்வதற்கு macOS இல் தடைசெய்யப்பட்ட APIகளின் பட்டியலைத் தவிர்த்துவிட்டது.
போட்டியில் வெடிக்க ஐந்து வெற்றிகரமான முயற்சிகள் காட்டப்பட்டன முன்பு அறியப்படாத பாதிப்புகள் உபுண்டு டெஸ்க்டாப், பங்கேற்பாளர்களின் வெவ்வேறு குழுக்களால் செய்யப்பட்டது.
நினைவகத்தை இருமுறை விடுவிப்பதால் சிக்கல்கள் ஏற்பட்டன (ஒரு $30k போனஸ்), தி நினைவக அணுகல் இலவசம் ($30k போனஸ்), தவறான சுட்டிக்காட்டி கையாளுதல் ($30k போனஸ்). இரண்டு டெமோக்களில், ஏற்கனவே அறியப்பட்ட, ஆனால் சரி செய்யப்படாத, பாதிப்புகள் பயன்படுத்தப்பட்டன (இரண்டு போனஸ் 15 ஆயிரம் டாலர்கள்). கூடுதலாக, உபுண்டுவை தாக்க ஆறாவது முயற்சி மேற்கொள்ளப்பட்டது, ஆனால் சுரண்டல் பலனளிக்கவில்லை.
பிரச்சனையின் கூறுகள் பற்றி இன்னும் அறிவிக்கப்படவில்லை, போட்டியின் விதிமுறைகளின்படி, அனைத்து நிரூபிக்கப்பட்ட பூஜ்ஜிய நாள் பாதிப்புகள் பற்றிய விரிவான தகவல்கள் 90 நாட்களுக்குப் பிறகு மட்டுமே வெளியிடப்படும், அவை பாதிப்புகளை அகற்ற உற்பத்தியாளர்களால் புதுப்பிப்புகளைத் தயாரிப்பதற்காக வழங்கப்படுகின்றன.
மற்ற டெமோக்கள் பற்றி வெற்றிகரமான தாக்குதல்கள் பின்வருமாறு குறிப்பிடப்பட்டுள்ளன:
- இலவச பாதிப்புகள், பஃபர் ஓவர்ஃப்ளோ மற்றும் ரீட் அவுட் ஆஃப் பஃபருக்குப் பிறகு நினைவக அணுகலால் ஏற்படும் பாதிப்புகளை மூன்று Oracle VirtualBox ஹேக் செய்கிறது (புரவலன் பக்கத்தில் குறியீட்டை செயல்படுத்த அனுமதிக்கும் 40 பாதிப்புகளைப் பயன்படுத்துவதற்கு இரண்டு $80k போனஸ் மற்றும் $3k போனஸ்).
- ஆப்பிளின் மேகோஸ் எலிவேஷன் ($40K பிரீமியம்).
- மைக்ரோசாப்ட் விண்டோஸ் 11 மீதான இரண்டு தாக்குதல்கள் அவர்களின் சலுகைகளை அதிகரிக்க அனுமதித்தன ($30.000 போனஸ்).
- இலவச நினைவக அணுகல் மற்றும் தவறான உள்ளீடு சரிபார்ப்பு ஆகியவற்றால் பாதிப்புகள் ஏற்பட்டன.
- சுரண்டலில் ($75,000 பிரீமியம்) இரண்டு பிழைகளின் சங்கிலியைப் பயன்படுத்தி மைக்ரோசாஃப்ட் அணிகள் மீது தாக்குதல்.
- Microsoft SharePoint மீதான தாக்குதல் ($100,000 போனஸ்).
- இலவச நினைவகம் மற்றும் தொடங்கப்படாத மாறி ($80 பிரீமியம்) அணுகுவதன் மூலம் VMWare பணிநிலையத்தின் மீது தாக்குதல்.
- அடோப் ரீடரில் உள்ளடக்கத்தை வழங்கும்போது குறியீடு செயல்படுத்தல். 6 பிழைகள் கொண்ட ஒரு சிக்கலான சங்கிலியானது தாக்கவும், சாண்ட்பாக்ஸைத் தவிர்க்கவும் மற்றும் தடைசெய்யப்பட்ட API ($50,000 பரிசு) அணுகவும் பயன்படுத்தப்பட்டது.
டெஸ்லா கார் இன்ஃபோடெயின்மென்ட் சிஸ்டம் மற்றும் டெஸ்லா கேட்வே மீது இரண்டு தாக்குதல்கள், ரூட் அணுகலைப் பெற அனுமதிக்கிறது. முதல் பரிசாக $100,000 மற்றும் டெஸ்லா மாடல் 3 கார், இரண்டாவது பரிசு $250,000.
தாக்குதல்கள் சமீபத்திய நிலையான பதிப்புகள், உலாவிகள் மற்றும் இயங்குதளங்கள் மற்றும் கிடைக்கக்கூடிய அனைத்து புதுப்பிப்புகள் மற்றும் இயல்புநிலை அமைப்புகளுடன் பயன்படுத்தப்பட்டன. செலுத்தப்பட்ட இழப்பீட்டுத் தொகை $1,035,000 மற்றும் ஒரு கார். அதிக புள்ளிகள் பெற்ற அணிக்கு $530,000 மற்றும் டெஸ்லா மாடல் 3 கிடைத்தது.
இறுதியாக, நீங்கள் இதைப் பற்றி மேலும் தெரிந்து கொள்ள ஆர்வமாக இருந்தால், விவரங்களை ஆலோசிக்கலாம் பின்வரும் இணைப்பில்.