Kamakailan lamang nagpakilala sila sa pamamagitan ng isang blog post resulta ng tatlong araw ng Pwn2Own 2022 na kumpetisyon, na ginaganap taun-taon bilang bahagi ng CanSecWest conference.
Sa edisyon sa taong ito ang mga diskarte ay ipinakita upang gumana upang mapagsamantalahan ang mga kahinaan dati hindi kilala para sa Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams at Firefox. Sa kabuuan, 25 matagumpay na pag-atake ang ipinakita at tatlong pagtatangka ang nauwi sa kabiguan. Ginamit ng mga pag-atake ang pinakabagong mga stable na bersyon ng mga application, browser at operating system kasama ang lahat ng available na update at nasa mga default na setting. Ang kabuuang halaga ng bayad na binayaran ay US$1.155.000.
Ang Pwn2Own Vancouver sa 2022 ay isinasagawa, at ang ika-15 anibersaryo ng paligsahan ay nakakita na ng ilang hindi kapani-paniwalang pananaliksik na ipinakita. Manatiling nakatutok sa blog na ito para sa mga na-update na resulta, larawan, at video mula sa kaganapan. Ipo-post namin ang lahat dito, kasama ang pinakabagong Master of Pwn leaderboard.
Kumpetisyon nagpakita ng limang matagumpay na pagtatangka upang pagsamantalahan ang mga dating hindi kilalang kahinaan sa Ubuntu Desktop, na ginawa ng iba't ibang pangkat ng mga kalahok.
ay ginawaran ng a $40,000 na parangal para sa pagpapakita ng lokal na pagtaas ng pribilehiyo sa Ubuntu Desktop sa pamamagitan ng pagsasamantala sa dalawang buffer overflow at double release na mga isyu. Apat na bonus, na nagkakahalaga ng $40,000 bawat isa, ang binayaran para sa pagpapakita ng pagtaas ng pribilehiyo sa pamamagitan ng pagsasamantala sa mga kahinaan na may kaugnayan sa pag-access sa memorya pagkatapos itong ilabas (Paggamit-Pagkatapos-Libre).
TAGUMPAY – Nanalo si Keith Yeo (@kyeojy) ng $40K at 4 na Master of Pwn points para sa Use-After-Free na pagsasamantala sa Ubuntu Desktop.
Aling mga bahagi ng problema ang hindi pa naiulat, ayon sa mga tuntunin ng kumpetisyon, ang detalyadong impormasyon sa lahat ng ipinakitang 0-araw na kahinaan ay mai-publish lamang pagkatapos ng 90 araw, na ibinibigay para sa paghahanda ng mga update ng mga tagagawa upang maalis ang mga kahinaan.
TAGUMPAY – Sa huling pagtatangka sa Araw 2, matagumpay na nagpakita sina Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_), at Xinyu Xing (@xingxinyu) mula sa TUTELARY team ng Northwestern University ng Use After Free na bug na humantong sa pagtaas ng pribilehiyo sa Ubuntu Desktop. Makakakuha ito ng $40,000 at 4 na puntos ng Master of Pwn.
Ang Team Orca ng Sea Security (security.sea.com) ay nakapagpatakbo ng 2 bug sa Ubuntu Desktop: isang Out-of-Bounds Write (OOBW) at Use-After-Free (UAF), na nakakuha ng $40,000 at 4 Master of Pwn Points .
TAGUMPAY: Ang Team Orca ng Sea Security (security.sea.com) ay nakapagpatakbo ng 2 bug sa Ubuntu Desktop: isang Out-of-Bounds Write (OOBW) at Use-After-Free (UAF), na nanalo ng $40,000 at 4 Master of Pwn points.
Sa iba pang mga pag-atake na maaaring matagumpay na maisagawa, maaari naming banggitin ang sumusunod:
- 100 libong dolyar para sa pagbuo ng isang pagsasamantala para sa Firefox, na nagpapahintulot, sa pamamagitan ng pagbubukas ng isang espesyal na idinisenyong pahina, upang iwasan ang paghihiwalay ng sandbox at isagawa ang code sa system.
- $40,000 para sa pagpapakita ng pagsasamantala na sinasamantala ang buffer overflow sa Oracle Virtualbox upang mag-log out ng isang bisita.
- $50,000 para sa pagpapatakbo ng Apple Safari (buffer overflow).
- $450,000 para sa Microsoft Teams hacks (iba't ibang team ang nagpakita ng tatlong hack na may reward na
- $150,000 bawat isa).
- $80,000 (dalawang $40,000 na bonus) para samantalahin ang mga buffer overflow at pagtaas ng pribilehiyo sa Microsoft Windows 11.
- $80,000 (dalawang $40,000 na bonus) para samantalahin ang isang bug sa access verification code upang mapataas ang iyong mga pribilehiyo sa Microsoft Windows 11.
- $40k para samantalahin ang integer overflow upang mapataas ang iyong mga pribilehiyo sa Microsoft Windows 11.
- $40,000 para sa pagsasamantala sa isang Use-After-Free na kahinaan sa Microsoft Windows 11.
- $75,000 para sa pagpapakita ng pag-atake sa infotainment system ng isang Tesla Model 3 na kotse. Ang pagsasamantala ay gumamit ng buffer overflow at libreng double bug, kasama ang isang dating kilalang sandbox bypass technique.
Huli ngunit hindi bababa sa, nabanggit na sa dalawang araw ng kompetisyon ang mga kabiguan na naganap sa kabila ng tatlong mga pagtatangka sa pag-hack na pinapayagan, ay ang mga sumusunod: Microsoft Windows 11 (6 matagumpay na hack at 1 nabigo), Tesla (1 hack matagumpay at 1 nabigo ) at Microsoft Teams (3 matagumpay na hack at 1 ang nabigo). Walang mga kahilingang magpakita ng mga pagsasamantala sa Google Chrome ngayong taon.
Sa wakas kung interesado kang malaman ang tungkol dito, Maaari mong suriin ang mga detalye sa orihinal na post sa ang sumusunod na link.