最近 他們讓自己為人所知 通過博客文章 Pwn2Own 2022 比賽三天的結果,作為 CanSecWest 會議的一部分每年舉行一次。
在今年的版本中 技術已被證明可以利用漏洞 以前未知 適用於 Ubuntu 桌面、Virtualbox、Safari、Windows 11、Microsoft Teams 和 Firefox. 總共展示了 25 次成功的攻擊,其中 1.155.000 次嘗試以失敗告終。 攻擊使用具有所有可用更新和默認設置的最新穩定版本的應用程序、瀏覽器和操作系統。 支付的薪酬總額為XNUMX美元。
到 2 年的 Pwn2022Own Vancouver 正在進行中,比賽的 15 週年紀念日已經展示了一些令人難以置信的研究。 請繼續關注此博客以獲取活動的更新結果、圖像和視頻。 我們將在此處發布所有內容,包括最新的 Master of Pwn 排行榜。
競爭 展示了利用以前未知漏洞的五次成功嘗試 在 Ubuntu Desktop 中,由不同的參與者團隊製作。
被授予 40,000 美元獎勵用於在 Ubuntu 桌面中展示本地權限升級 通過利用兩個緩衝區溢出和雙重釋放問題。 四項獎金,每項價值 40,000 美元,用於通過利用與內存訪問相關的漏洞(釋放後使用)來展示權限提升。
成功 – Keith Yeo (@kyeojy) 在 Ubuntu 桌面上的 Use-After-Free 漏洞利用贏得了 40 萬美元和 4 個 Pwn 大師積分。
問題的哪些組件尚未報告,根據競賽條款,所有已展示的 0-day 漏洞的詳細信息將僅在 90 天后發布,以供製造商準備更新以消除漏洞。
成功 – 在第 2 天的最後一次嘗試中,來自西北大學 TUTELARY 團隊的 Jinpeng Lin (@Markak_)、Yueqi Chen (@Lewis_Chen_) 和 Xinyu Xing (@xingxinyu) 成功演示了導致 Ubuntu 中權限提升的 Use After Free 錯誤桌面。 這將為您帶來 40,000 美元和 4 個 Pwn 大師積分。
Sea Security (security.sea.com) 的 Orca 團隊能夠在 Ubuntu 桌面上運行 2 個錯誤:越界寫入 (OOBW) 和釋放後使用 (UAF),獲得 40,000 美元和 4 個 Pwn 大師積分.
成功:Sea Security (security.sea.com) 的 Orca 團隊能夠在 Ubuntu 桌面上運行 2 個錯誤:越界寫入 (OOBW) 和釋放後使用 (UAF),贏得 40,000 美元和 4 個 Master of Pwn 點。
在可以成功執行的其他攻擊中,我們可以提及以下內容:
- 100 萬美元用於開發 Firefox 漏洞利用,通過打開一個專門設計的頁面,可以繞過沙箱的隔離並在系統中執行代碼。
- 40,000 美元用於演示利用 Oracle Virtualbox 中的緩衝區溢出來註銷來賓的漏洞。
- 50,000 美元用於運行 Apple Safari(緩衝區溢出)。
- 450,000 美元用於 Microsoft Teams hack(不同團隊展示了三個 hack,獎勵為
- 每個 150,000 美元)。
- 80,000 美元(兩個 40,000 美元的獎金)用於利用 Microsoft Windows 11 中的緩衝區溢出和權限提升。
- 80,000 美元(兩個 40,000 美元獎金)用於利用訪問驗證碼中的錯誤來提升您在 Microsoft Windows 11 中的權限。
- 40 萬美元用於利用整數溢出來提升您在 Microsoft Windows 11 中的權限。
- 40,000 美元用於利用 Microsoft Windows 11 中的 Use-After-Free 漏洞。
- 75,000 美元用於演示對特斯拉 Model 3 汽車信息娛樂系統的攻擊。該漏洞利用了緩衝區溢出和免費雙重漏洞,以及以前已知的沙盒繞過技術。
最後但並非最不重要的一點是,在兩天的比賽中,儘管允許進行 11 次黑客攻擊,但仍出現以下故障:Microsoft Windows 6(1 次成功黑客攻擊和 1 次失敗)、特斯拉(1 次黑客攻擊成功和 3 次失敗) ) 和 Microsoft Teams(1 次成功的 hack 和 XNUMX 次失敗)。 今年沒有要求在 Google Chrome 中展示漏洞利用。
終於 如果您有興趣了解更多信息, 您可以在原始帖子中查看詳細信息 以下鏈接。