geçenlerde Sonuçları yarışmanın üç günü Pwn2Own 2021, CanSecWest konferansının bir parçası olarak her yıl düzenlenmektedir.
Yarışmalar geçen yıl olduğu gibi sanal ortamda gerçekleştirildi. ve saldırılar çevrimiçi olarak gösterildi. 23 hedeften operasyonel tekniklerin Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams ve Zoom için önceden bilinmeyen güvenlik açıklarından yararlanmaya yönelik olduğu gösterildi.
Her durumda, mevcut tüm güncellemeler de dahil olmak üzere en son yazılım sürümleri test edildi. Toplam ödeme tutarı bir milyon iki yüz bin ABD dolarını buldu.
Yarışmada, Ubuntu'daki güvenlik açıklarından yararlanmak için üç girişimde bulunuldu birinci ve ikinci denemeler sayıldı ve saldırganlar yerel ayrıcalık artışını gösterebildiler arabellek taşmaları ve çift bellek boşaltmalarıyla ilgili önceden bilinmeyen güvenlik açıklarından yararlanılması yoluyla (bu durumda sorunun bileşenleri henüz rapor edilmemiştir ve geliştiricilere, veriler açıklanana kadar hataları düzeltmeleri için 90 gün verilmiştir).
Ubuntu için gösterilen bu güvenlik açıklarından, 30,000 dolar ikramiye ödendi.
Yerel ayrıcalıkların kötüye kullanılması kategorisinde başka bir ekip tarafından yapılan üçüncü girişim, yalnızca kısmen başarılı oldu: istismar işe yaradı ve root erişimine izin verdi, ancak saldırı tam olarak itibar edilmedi, beri Güvenlik açığıyla ilişkili hata zaten kataloglanmıştı Ubuntu geliştiricileri tarafından biliniyordu ve düzeltme içeren bir güncelleme hazırlanıyordu.
ayrıca Chromium destekli tarayıcılara yönelik başarılı saldırı gösterildi: Google Chrome ve Microsoft Edge, Chrome ve Edge'de özel olarak hazırlanmış bir sayfayı açtığınızda kodun çalıştırılmasına izin veren bir istismarın yaratılması için bunlardan 100,000 ABD doları tutarında bir bonus ödendi (iki tarayıcı için evrensel bir istismar oluşturuldu).
Bu güvenlik açığı durumunda düzeltmenin önümüzdeki birkaç saat içinde yayınlanmasının planlandığı belirtilirken, güvenlik açığının yalnızca web içeriğinin işlenmesinden (renderer) sorumlu olan süreçte mevcut olduğu biliniyor.
Öte yandan Zoom'da 200 bin dolar ödendi ve Zoom uygulamasının bir kod çalıştırılarak hacklenebileceği gösterildi başka bir kullanıcıya mesaj göndermek, alıcının herhangi bir işlem yapmasına gerek kalmadan. Saldırıda Zoom'da üç, Windows işletim sisteminde ise bir güvenlik açığı kullanıldı.
Tamsayı taşması, halihazırda boş belleğe erişim ve SİSTEM ayrıcalıklarının elde edilmesine izin veren yarış koşullarıyla ilgili güvenlik açıklarının gösterildiği üç başarılı Windows 40,000 işlemi için de 10 ABD Doları tutarında bir bonus verildi.
Başka bir girişim ki bu kanıtlandı, ancak bu durumda başarılı olmadı VirtualBox içindiÖdüller arasında yer alan Firefox, VMware ESXi, Hyper-V istemcisi, MS Office 365, MS SharePoint, MS RDP ve Adobe Reader ile birlikte talep edilmedi.
Ayrıca 600 bin dolarlık ödül artı Tesla Model 3 otomobiline rağmen Tesla otomobilinin bilgi sisteminin hacklendiğini göstermeye istekli kimse yoktu.
Diğer ödüllerden ödüllendirilenler:
- Microsoft Exchange'i kırmak için 200 bin dolar (kimlik doğrulamanın atlanması ve yönetici hakları elde etmek için sunucudaki yerel ayrıcalıkların yükseltilmesi). Başka bir takıma başka bir başarılı istismar gösterildi, ancak birinci takım zaten aynı hataları kullandığından ikincilik ödülü ödenmedi.
- Microsoft ekipmanlarını hacklemek için 200 bin dolar (sunucuda kod çalıştırmak).
- Apple Safari işlemi için 100 bin dolar (sanal alandan kaçınmak ve çekirdek düzeyinde kod yürütmek için Safari'de tamsayı taşması ve macOS çekirdeğinde arabellek taşması).
- Parallels Desktop'ı hacklemek (sanal makineden çıkış yapmak ve kodu ana sistemde çalıştırmak) için 140,000. Saldırı üç farklı güvenlik açığından yararlanılarak gerçekleştirildi: başlatılmamış bellek sızıntısı, yığın taşması ve tamsayı taşması.
- Parallels Desktop hack'leri için iki adet 40 ABD doları tutarında ödül (kodun sanal bir makinedeki eylemler yoluyla harici bir işletim sisteminde çalıştırılmasına izin veren mantıksal hata ve arabellek taşması).