Die uitslae van drie dae van die Pwn2Own 2021-kompetisie, wat jaarliks as deel van die CanSecWest-konferensie gehou word, is opgesom. Soos verlede jaar is die kompetisie feitlik gehou en die aanvalle is aanlyn gedemonstreer. Van die 23 geteikende teikens is werkstegnieke vir die ontginning van voorheen onbekende kwesbaarhede gedemonstreer vir Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams en Zoom. In alle gevalle is die nuutste weergawes van die programme getoets, insluitend alle beskikbare opdaterings. Die totale bedrag van betalings was een miljoen tweehonderdduisend Amerikaanse dollar (die totale prysfonds was een en 'n half miljoen dollar).
By die kompetisie is drie pogings aangewend om kwesbaarhede in Ubuntu Desktop te ontgin. Die eerste en tweede pogings was geldig en die aanvallers was in staat om plaaslike eskalasie van voorregte te demonstreer deur voorheen onbekende kwesbaarhede wat verband hou met bufferoorloop en dubbelvrye geheue uit te buit (watter komponente van die probleem nog nie aangemeld is nie; ontwikkelaars kry 90 dae om reg te stel foute voordat data bekend gemaak word). Bonusse van $30 XNUMX is vir hierdie kwesbaarhede betaal.
Die derde poging, wat deur 'n ander span in die plaaslike voorregmisbruikkategorie gemaak is, was slegs gedeeltelik suksesvol - die uitbuiting het gewerk en dit moontlik gemaak om worteltoegang te verkry, maar die aanval is nie ten volle gekrediteer nie, aangesien die fout wat met die kwesbaarheid geassosieer word reeds bekend was aan die Ubuntu-ontwikkelaars en 'n opdatering met 'n regstelling was in die proses van voorbereiding.
’n Suksesvolle aanval is ook gedemonstreer vir blaaiers gebaseer op die Chromium-enjin – Google Chrome en Microsoft Edge. Vir die skep van 'n uitbuiting waarmee u u kode kan uitvoer wanneer u 'n spesiaal ontwerpte bladsy in Chrome en Edge oopmaak (een universele uitbuiting is vir twee blaaiers geskep), is 'n prys van 100 duisend dollar betaal. Die oplossing word beplan om in die komende ure gepubliseer te word, tot dusver is al wat bekend is dat die kwesbaarheid teenwoordig is in die proses wat verantwoordelik is vir die verwerking van webinhoud (weergawe).
Ander suksesvolle aanvalle:
- $200 duisend vir die hacking van die Zoom-toepassing (het daarin geslaag om sy kode uit te voer deur 'n boodskap aan 'n ander gebruiker te stuur, sonder dat die ontvanger enige aksie hoef te doen). Die aanval het drie kwesbaarhede in Zoom en een in die Windows-bedryfstelsel gebruik.
- $200 duisend vir die inbraak van Microsoft Exchange (omseil stawing en plaaslik eskalerende voorregte op die bediener om administrateurregte te verkry). Nog 'n suksesvolle werkende uitbuiting is aan 'n ander span gedemonstreer, maar die tweede prys is nie betaal nie, aangesien dieselfde foute reeds deur die eerste span gebruik is.
- $200 duisend vir die inbraak van Microsoft Teams (die uitvoering van kode op die bediener).
- $100 duisend vir die ontginning van Apple Safari (heelgetal oorloop in Safari en buffer oorloop in die macOS kern om sandbox te omseil en kode op kernvlak uit te voer).
- $140 duisend vir die inbraak van Parallels Desktop (die virtuele masjien verlaat en kode op die hoofstelsel uitvoer). Die aanval is uitgevoer deur die uitbuiting van drie verskillende kwesbaarhede - ongeinitialiseerde geheuelek, stapeloorloop en heelgetaloorloop.
- Twee toekennings van 40 duisend dollar elk vir die inbraak van Parallels Desktop ('n logiese fout en 'n buffer-oorloop wat toegelaat het dat kode in 'n eksterne bedryfstelsel uitgevoer word deur aksies binne 'n virtuele masjien).
- Drie toekennings van 40 duisend dollar vir drie suksesvolle uitbuitings van Windows 10 (heelgetal-oorloop, toegang tot reeds vrygestelde geheue en 'n wedlooptoestand wat toegelaat het dat STELSEL-voorregte verkry kon word).
Pogings is aangewend, maar was onsuksesvol, om Oracle VirtualBox te hack. Nominasies vir die inbraak van Firefox, VMware ESXi, Hyper-V-kliënt, MS Office 365, MS SharePoint, MS RDP en Adobe Reader het nie opgeëis nie. Daar was ook niemand wat bereid was om die inbraak van die inligtingstelsel van 'n Tesla-motor te demonstreer nie, ten spyte van die prys van 600 duisend dollar plus 'n Tesla Model 3-motor.
Bron: opennet.ru