Pwn2Own 2033 được tổ chức tại Vancouver
Gần đây kết quả của ba ngày của cuộc thi Pwn2Own 2023, được tổ chức hàng năm như một phần của hội nghị CanSecWest tại Vancouver.
Trong ấn bản mới này các kỹ thuật đã được chứng minh là hoạt động để khai thác các lỗ hổng chưa biết trước đây cho Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint và cho xe Tesla.
Tổng cộng có 27 cuộc tấn công thành công đã được chứng minh đã khai thác các lỗ hổng chưa biết trước đó.
Đối với những người không quen thuộc với Pwn2Own, bạn nên biết rằng đây là sự kiện hack toàn cầu do Trend Micro Zero-Day Initiative (ZDI) tổ chức, diễn ra từ năm 2005. Trong đó, một số nhóm hack giỏi nhất sẽ thi đấu với các mục tiêu công nghệ .mặc định và lẫn nhau, sử dụng khai thác 'zero-day'.
Những thợ săn tiền thưởng hacker ưu tú và các nhà nghiên cứu bảo mật này có giới hạn thời gian nghiêm ngặt để 'pwn' thành công các mục tiêu được đề cập. Thành công được tưởng thưởng bằng cả điểm được cộng vào bảng xếp hạng Masters of Pwn và không nên đánh giá thấp danh tiếng dành cho Pwn2Own vì tính chất cạnh tranh rất mạnh ở đây cũng như các khoản thanh toán ấn tượng. Tổng cộng, Pwn2Own Vancouver 2023 có quỹ giải thưởng hơn 1 triệu USD.
Đầu tiên rơi xuống là Adobe Reader trong danh mục ứng dụng kinh doanh sau Abdul Aziz Hariri (@abdhariri) từ Haboob SA đã sử dụng một chuỗi khai thác nhắm mục tiêu chuỗi logic 6 lỗi đã lạm dụng nhiều bản vá lỗi đã thoát khỏi Hộp cát và bỏ qua danh sách các API bị cấm trong macOS để giành được 50.000 đô la.
Trong cạnh tranh đã chứng minh năm nỗ lực thành công để phát nổ lỗ hổng chưa biết trước đây trong Máy tính để bàn Ubuntu, được thực hiện bởi các nhóm người tham gia khác nhau.
Các sự cố xảy ra do giải phóng gấp đôi bộ nhớ (tiền thưởng $30k), truy cập bộ nhớ sau khi miễn phí (tiền thưởng $30k), xử lý con trỏ sai (tiền thưởng $30k). Trong hai bản demo, các lỗ hổng đã được biết đến nhưng chưa được sửa chữa đã được sử dụng (hai phần thưởng trị giá 15 nghìn đô la). Ngoài ra, nỗ lực tấn công Ubuntu lần thứ sáu đã được thực hiện nhưng việc khai thác không thành công.
Về các thành phần của vấn đề vẫn chưa được báo cáo, theo các điều khoản của cuộc thi, thông tin chi tiết về tất cả các lỗ hổng zero day đã được chứng minh sẽ chỉ được công bố sau 90 ngày, được đưa ra để các nhà sản xuất chuẩn bị cập nhật nhằm loại bỏ các lỗ hổng.
Giới thiệu về các bản demo khác của các cuộc tấn công thành công sau đây được đề cập:
- Ba vụ hack Oracle VirtualBox khai thác các lỗ hổng gây ra bởi Truy cập bộ nhớ sau các lỗ hổng miễn phí, Tràn bộ đệm và Đọc hết bộ đệm (hai khoản tiền thưởng 40 nghìn đô la và 80 nghìn đô la tiền thưởng cho việc khai thác 3 lỗ hổng cho phép thực thi mã ở phía máy chủ).
- Độ cao macOS của Apple ($40K Premium).
- Hai cuộc tấn công vào Microsoft Windows 11 cho phép họ tăng đặc quyền (30.000 đô la tiền thưởng).
- Các lỗ hổng được gây ra bởi truy cập bộ nhớ trống và xác thực đầu vào không chính xác.
- Tấn công vào Microsoft Teams bằng cách sử dụng chuỗi hai lỗi trong quá trình khai thác ($75,000 phí bảo hiểm).
- Tấn công vào Microsoft SharePoint ($100,000 tiền thưởng).
- Tấn công vào máy trạm VMWare bằng cách truy cập bộ nhớ trống và một biến chưa được khởi tạo ($80 phí bảo hiểm).
- Thực thi mã trong khi hiển thị nội dung trong Adobe Reader. Một chuỗi 6 lỗi phức tạp đã được sử dụng để tấn công, bỏ qua sandbox và truy cập vào API bị cấm ($50,000 giải thưởng).
Hai cuộc tấn công vào hệ thống thông tin giải trí xe hơi Tesla và Cổng Tesla, cho phép giành quyền truy cập root. Giải nhất trị giá 100,000 USD và một chiếc ô tô Tesla Model 3, giải nhì là 250,000 USD.
Các cuộc tấn công đã sử dụng các phiên bản ổn định mới nhất của ứng dụng, trình duyệt và hệ điều hành với tất cả các bản cập nhật và cài đặt mặc định có sẵn. Tổng số tiền bồi thường được trả là $1,035,000 và một chiếc ô tô. Đội có nhiều điểm nhất nhận được 530,000 USD và một chiếc Tesla Model 3.
Cuối cùng, nếu bạn quan tâm có thể biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.