تم تلخيص نتائج ثلاثة أيام من مسابقة Pwn2Own 2021، التي تقام سنويًا كجزء من مؤتمر CanSecWest. وكما هو الحال في العام الماضي، أقيمت المسابقة افتراضيًا وتم عرض الهجمات عبر الإنترنت. ومن بين الأهداف المستهدفة البالغ عددها 23 هدفًا، تم عرض تقنيات العمل لاستغلال الثغرات الأمنية غير المعروفة سابقًا في Ubuntu Desktop وWindows 10 وChrome وSafari وParallels Desktop وMicrosoft Exchange وMicrosoft Teams وZoom. وفي جميع الأحوال تم اختبار أحدث إصدارات البرامج بما في ذلك كافة التحديثات المتوفرة. بلغ إجمالي مبلغ المدفوعات مليون ومئتي ألف دولار أمريكي (بلغ إجمالي مبلغ الجائزة مليونًا ونصف المليون دولار).
في المسابقة، تم إجراء ثلاث محاولات لاستغلال نقاط الضعف في Ubuntu Desktop. كانت المحاولتان الأولى والثانية صالحتين وتمكن المهاجمون من إثبات التصعيد المحلي للامتيازات من خلال استغلال الثغرات الأمنية غير المعروفة سابقًا والمتعلقة بتجاوز سعة المخزن المؤقت والذاكرة الحرة المزدوجة (لم يتم الإبلاغ عن مكونات المشكلة بعد؛ ويتم منح المطورين 90 يومًا لتصحيحها) الأخطاء قبل الكشف عن البيانات). تم دفع مكافآت قدرها 30 ألف دولار مقابل نقاط الضعف هذه.
المحاولة الثالثة، التي أجراها فريق آخر في فئة إساءة استخدام الامتيازات المحلية، كانت ناجحة جزئيًا فقط - نجحت الثغرة الأمنية ومكّنت من الوصول إلى الجذر، لكن الهجوم لم يُنسب إليه الفضل بالكامل، نظرًا لأن الخطأ المرتبط بالثغرة الأمنية كان معروفًا بالفعل لمطوري Ubuntu وكان التحديث مع الإصلاح قيد الإعداد.
تم أيضًا عرض هجوم ناجح للمتصفحات المستندة إلى محرك Chromium - Google Chrome وMicrosoft Edge. لإنشاء استغلال يتيح لك تنفيذ التعليمات البرمجية الخاصة بك عند فتح صفحة مصممة خصيصًا في Chrome وEdge (تم إنشاء استغلال عالمي لمتصفحين)، تم دفع جائزة قدرها 100 ألف دولار. ومن المقرر نشر الإصلاح في الساعات القادمة، كل ما هو معروف حتى الآن هو أن الثغرة موجودة في العملية المسؤولة عن معالجة محتوى الويب (العارض).
هجمات ناجحة أخرى:
- 200 ألف دولار مقابل اختراق تطبيق Zoom (تمكن من تنفيذ الكود الخاص به عن طريق إرسال رسالة إلى مستخدم آخر، دون الحاجة إلى أي إجراء من جانب المتلقي). استخدم الهجوم ثلاث نقاط ضعف في Zoom وواحدة في نظام التشغيل Windows.
- 200 ألف دولار لاختراق Microsoft Exchange (تجاوز المصادقة وتصعيد الامتيازات محليًا على الخادم للحصول على حقوق المسؤول). تم عرض استغلال ناجح آخر لفريق آخر، لكن لم يتم دفع الجائزة الثانية، نظرًا لأن نفس الأخطاء قد تم استخدامها بالفعل من قبل الفريق الأول.
- 200 ألف دولار لاختراق Microsoft Teams (تنفيذ تعليمات برمجية على الخادم).
- 100 ألف دولار لاستغلال Apple Safari (تجاوز عدد صحيح في Safari وتجاوز سعة المخزن المؤقت في kernel macOS لتجاوز وضع الحماية وتنفيذ التعليمات البرمجية على مستوى kernel).
- 140 ألف دولار لاختراق Parallels Desktop (الخروج من الجهاز الافتراضي وتنفيذ التعليمات البرمجية على النظام الرئيسي). تم تنفيذ الهجوم من خلال استغلال ثلاث نقاط ضعف مختلفة - تسرب الذاكرة غير المهيأ، وتجاوز سعة المكدس، وتجاوز عدد صحيح.
- جائزتان بقيمة 40 ألف دولار لكل منهما لاختراق Parallels Desktop (خطأ منطقي وتجاوز سعة المخزن المؤقت الذي سمح بتنفيذ تعليمات برمجية في نظام تشغيل خارجي من خلال إجراءات داخل جهاز افتراضي).
- ثلاث جوائز بقيمة 40 ألف دولار لثلاث عمليات استغلال ناجحة لنظام التشغيل Windows 10 (تجاوز العدد الصحيح والوصول إلى الذاكرة المحررة بالفعل وحالة السباق التي سمحت بالحصول على امتيازات النظام).
جرت محاولات لاختراق Oracle VirtualBox، لكنها باءت بالفشل. ولم تتم المطالبة بالترشيحات لاختراق Firefox وVMware ESXi وHyper-V Client وMS Office 365 وMS SharePoint وMS RDP وAdobe Reader. كما لم يكن هناك من يرغب في إثبات اختراق نظام المعلومات لسيارة تيسلا، رغم الجائزة البالغة 600 ألف دولار بالإضافة إلى سيارة تيسلا موديل 3.
المصدر: opennet.ru