เมื่อเร็ว ๆ นี้ พวกเขาทำให้ตัวเองเป็นที่รู้จัก ผ่านบล็อกโพสต์ ผลการแข่งขัน Pwn2Own 2022 สามวันซึ่งจัดขึ้นทุกปีโดยเป็นส่วนหนึ่งของการประชุม CanSecWest
ในฉบับปีนี้ เทคนิคต่างๆ ได้รับการพิสูจน์แล้วว่าทำงานเพื่อใช้ประโยชน์จากช่องโหว่ต่างๆ ไม่ทราบมาก่อน สำหรับ Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams และ Firefox. โดยรวมแล้ว มีการแสดงการโจมตีที่ประสบความสำเร็จ 25 ครั้งและความพยายามสามครั้งสิ้นสุดลงด้วยความล้มเหลว การโจมตีใช้แอปพลิเคชัน เบราว์เซอร์ และระบบปฏิบัติการเวอร์ชันเสถียรล่าสุดพร้อมการอัปเดตที่มีอยู่ทั้งหมดและในการตั้งค่าเริ่มต้น จำนวนเงินค่าตอบแทนที่จ่ายไปทั้งหมด 1.155.000 เหรียญสหรัฐ
Pwn2Own Vancouver ภายในปี 2022 กำลังเริ่มขึ้น และงานฉลองครบรอบ 15 ปีของการประกวดก็ได้รับการจัดแสดงผลงานวิจัยที่น่าเหลือเชื่อ คอยติดตามบล็อกนี้สำหรับผลลัพธ์ รูปภาพ และวิดีโอที่อัปเดตจากงาน เราจะโพสต์ไว้ทั้งหมดที่นี่ รวมถึงลีดเดอร์บอร์ด Master of Pwn ล่าสุด
การแข่งขัน แสดงให้เห็นถึงความพยายามที่ประสบความสำเร็จห้าครั้งในการใช้ประโยชน์จากช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ ใน Ubuntu Desktop ซึ่งสร้างโดยผู้เข้าร่วมหลายทีม
ได้รับรางวัล รางวัล $40,000 สำหรับการแสดงการยกระดับสิทธิ์ในพื้นที่ใน Ubuntu Desktop โดยใช้ประโยชน์จากปัญหาบัฟเฟอร์ล้นสองรายการและปัญหาการออกซ้ำซ้อน โบนัสสี่รายการ มูลค่า 40,000 ดอลลาร์ต่ออัน ถูกจ่ายเพื่อแสดงให้เห็นถึงการเพิ่มระดับสิทธิ์โดยใช้ประโยชน์จากช่องโหว่ที่เกี่ยวข้องกับการเข้าถึงหน่วยความจำหลังจากเปิดตัว (ใช้หลังใช้งานฟรี)
ความสำเร็จ – Keith Yeo ( @kyeojy ) ชนะรางวัล $40 และ 4 Master of Pwn points สำหรับการใช้ประโยชน์หลังใช้งานฟรีบน Ubuntu Desktop
ส่วนประกอบใดของปัญหาที่ยังไม่ได้รายงานตามเงื่อนไขของการแข่งขัน ข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่ 0 วันที่แสดงทั้งหมดจะถูกเผยแพร่หลังจาก 90 วันเท่านั้น ซึ่งจะได้รับสำหรับการเตรียมการอัปเดตโดยผู้ผลิตเพื่อลบช่องโหว่
ความสำเร็จ – ในความพยายามครั้งสุดท้ายในวันที่ 2 Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) และ Xinyu Xing (@xingxinyu) จากทีม TUTELARY ของ Northwestern University ได้สาธิตข้อผิดพลาด Use After Free ซึ่งนำไปสู่การยกระดับสิทธิ์ใน Ubuntu Desktop . สิ่งนี้จะทำให้คุณได้รับ $40,000 และคะแนน Master of Pwn 4 คะแนน
Team Orca of Sea Security (security.sea.com) สามารถเรียกใช้ 2 ข้อบกพร่องบน Ubuntu Desktop: Out-of-Bounds Write (OOBW) และ Use-After-Free (UAF) รับ $40,000 และ 4 Master of Pwn Points .
ความสำเร็จ: ทีม Orca of Sea Security (security.sea.com) สามารถเรียกใช้ 2 ข้อบกพร่องบน Ubuntu Desktop: Out-of-Bounds Write (OOBW) และ Use-After-Free (UAF) ชนะ $40,000 และ 4 Master of จุดพน.
จากการโจมตีอื่นๆ ที่สามารถทำได้สำเร็จ เราสามารถพูดถึงสิ่งต่อไปนี้:
- 100 ดอลลาร์สำหรับการพัฒนาช่องโหว่สำหรับ Firefox ซึ่งอนุญาตให้เปิดหน้าที่ออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงการแยกแซนด์บ็อกซ์และรันโค้ดในระบบ
- $40,000 สำหรับการแสดงช่องโหว่ที่ใช้ประโยชน์จากบัฟเฟอร์ล้นใน Oracle Virtualbox เพื่อออกจากระบบของแขก
- $50,000 สำหรับการเรียกใช้ Apple Safari (บัฟเฟอร์ล้น)
- $450,000 สำหรับการแฮ็ก Microsoft Teams (แต่ละทีมสาธิตการแฮ็กสามครั้งพร้อมรางวัล
- คนละ 150,000 เหรียญ)
- $80,000 (โบนัส $40,000 สองรางวัล) เพื่อใช้ประโยชน์จากบัฟเฟอร์ล้นและการเพิ่มสิทธิพิเศษใน Microsoft Windows 11
- $80,000 (โบนัส $40,000 สองรางวัล) เพื่อใช้ประโยชน์จากจุดบกพร่องในรหัสยืนยันการเข้าถึงเพื่อยกระดับสิทธิ์ของคุณใน Microsoft Windows 11
- $40k เพื่อใช้ประโยชน์จากจำนวนเต็มล้นเพื่อยกระดับสิทธิ์ของคุณใน Microsoft Windows 11
- $40,000 สำหรับการใช้ประโยชน์จากช่องโหว่ Use-After-Free ใน Microsoft Windows 11
- $75,000 สำหรับสาธิตการโจมตีระบบ Infotainment ของรถยนต์ Tesla Model 3 การเอารัดเอาเปรียบดังกล่าวใช้บัฟเฟอร์ล้นและจุดบกพร่องคู่ฟรี
สุดท้ายแต่ไม่ท้ายสุด กล่าวกันว่าในช่วงสองวันของการแข่งขัน ความล้มเหลวที่เกิดขึ้นแม้จะอนุญาตให้แฮ็คสามครั้งได้มีดังต่อไปนี้: Microsoft Windows 11 (แฮ็คที่ประสบความสำเร็จ 6 ครั้งและล้มเหลว 1 ครั้ง) เทสลา (แฮ็คสำเร็จ 1 ครั้งและล้มเหลว 1 ครั้ง) ) และ Microsoft Teams (แฮ็กสำเร็จ 3 ครั้งและล้มเหลว 1 ครั้ง) ปีนี้ไม่มีการร้องขอให้สาธิตการหาประโยชน์ใน Google Chrome
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม สามารถตรวจสอบรายละเอียดในโพสต์ต้นทางได้ที่ ลิงค์ต่อไปนี้