Pwn2Own是一场黑客大赛 从2007年开始,每年在CanSecWest安全会议上举行。 参与者面临开发软件和移动设备的挑战 广泛用于迄今未知的漏洞。
竞赛获胜者将获得他们开发的设备,现金奖和“大师”奖。庆祝他的胜利之年。 名称“ Pwn2Own”源于以下事实:参与者必须“ pwn”或破解设备才能“拥有”或赢得该设备。
比赛 Pwn2Own用于演示广泛使用的设备和软件的漏洞 它还提供了自上一年以来在安全方面取得的进展的检查点。
关于Pwn2Own 2020
在今年的Pwn2Own 2020新版本中 虚拟举行比赛,并在网上显示攻击由于角膜病毒(Covid-19)的传播已经产生了一些问题, 这是您的组织者第一次 零日倡议(ZDI), 决定组织这次活动 允许参与者展示 遥远地 他的功绩。
比赛中 提出了各种工作方法来利用漏洞 以前未知 在Ubuntu桌面中 (Linux内核), Windows,macOS,Safari,VirtualBox和Adobe Reader。
付款总额为270万美元 (总奖池超过4万美元)。
总结两天的比赛结果 每年在CanSecWest会议上举行的Pwn2Own 2020如下:
-
- 在Pwn2Own 2020的第一天,佐治亚州软件和安全实验室的一个团队 科技系统 (@SSLab_Gatech) 具有macOS内核级别特权升级的Safari hack 并以root特权启动计算器。 攻击链涉及六个漏洞,使团队赚了70,000万美元。
- 活动期间 来自“ RedRocket”的Manfred Paul负责演示Ubuntu Desktop中本地特权的升级 通过利用Linux内核中与输入值的不正确验证相关的漏洞。 这导致他赢得了30美元的奖金。
- 还 该演示是将访客环境留在VirtualBox中并以虚拟机管理程序的权限执行代码通过利用两个漏洞:从分配的缓冲区之外的区域读取数据的能力以及使用未初始化的变量时出错的机会,证明该漏洞的奖金为40美元。 在比赛之外,零日计划的代表还展示了另一个VirtualBox技巧,该技巧允许通过来宾环境中的操作来访问主机系统。
- 两次示范 通过利用漏洞在Windows中进行本地特权升级 导致进入已经释放的存储区的访问,并分别授予了这两个奖品,分别为40万美元。
- 打开PDF文档时获得Windows中的管理员访问权限 在Adobe Reader中专门设计的。 该攻击涉及Acrobat和Windows内核中与访问已释放的内存区域有关的漏洞(奖金为50美元)。
其余无人认领的提名因黑客入侵Chrome,Firefox,Edge,Microsoft Hyper-V Client,Microsoft Office和Microsoft Windows RDP而获得提名。
也曾尝试入侵VMware Workstation,但未成功。 与去年一样,大多数开放项目(nginx,OpenSSL和Apache httpd)的黑客入侵均未进入奖项类别。
另外,我们可以看看黑客入侵特斯拉汽车信息系统的问题。
在比赛中没有试图破解特斯拉的尝试。a,尽管最高保费为700万美元,但 有关于DoS漏洞检测的单独信息 Tesla Model 2020中的(CVE-10558-3),它允许禁用内置浏览器自动驾驶仪通知中的特殊设计页面,并中断诸如里程表,导航仪,空调,导航系统等组件的操作。
数据来源: https://www.thezdi.com/