تم تلخيص نتائج ثلاثة أيام من مسابقة Pwn2Own 2022، التي تقام سنويًا كجزء من مؤتمر CanSecWest. لقد تم عرض تقنيات العمل لاستغلال الثغرات الأمنية غير المعروفة سابقًا في Ubuntu Desktop وVirtualbox وSafari وWindows 11 وMicrosoft Teams وFirefox. وقد تم تنفيذ ما مجموعه 25 هجومًا ناجحًا، وانتهت ثلاث محاولات بالفشل. استخدمت الهجمات أحدث الإصدارات المستقرة من التطبيقات والمتصفحات وأنظمة التشغيل مع جميع التحديثات المتاحة والتكوينات الافتراضية. وبلغ إجمالي مبلغ المكافآت المدفوعة 1,155,000 دولار أمريكي.
أظهرت المسابقة خمس محاولات ناجحة لاستغلال نقاط الضعف غير المعروفة سابقًا في Ubuntu Desktop، والتي قامت بها فرق مختلفة من المشاركين. تم دفع جائزة واحدة بقيمة 40 دولار أمريكي لإظهار تصعيد الامتيازات المحلية في Ubuntu Desktop من خلال استغلال اثنين من تجاوز سعة المخزن المؤقت والمشكلات المجانية المزدوجة. تم منح أربع جوائز، تبلغ قيمة كل منها 40 دولار أمريكي، لإثبات تصعيد الامتيازات من خلال استغلال ثغرات الاستخدام بعد الاستخدام المجاني.
لم يتم حتى الآن الإبلاغ عن المكونات الدقيقة للمشكلة؛ وفقًا لشروط المنافسة، سيتم نشر المعلومات التفصيلية حول جميع الثغرات الأمنية التي تم إثباتها خلال 0 يوم فقط بعد 90 يومًا، والتي يتم تقديمها إلى الشركات المصنعة لإعداد التحديثات التي تقضي على الثغرات الأمنية. نقاط الضعف.
هجمات ناجحة أخرى:
- 100 ألف دولار لتطوير ثغرة لمتصفح فايرفوكس، والتي سمحت، عند فتح صفحة مصممة خصيصًا، بتجاوز عزل وضع الحماية وتنفيذ التعليمات البرمجية في النظام.
- 40 دولار أمريكي لإظهار استغلال يستخدم تجاوز سعة المخزن المؤقت في Oracle Virtualbox لتسجيل الخروج من الضيف.
- 50 ألف دولار مقابل تشغيل Apple Safari (سعة المخزن المؤقت).
- 450 ألف دولار لاختراق Microsoft Teams (أظهرت فرق مختلفة ثلاثة اختراقات بمكافأة 150 ألف لكل منها).
- 80 ألف دولار (جائزتان قيمة كل منهما 40 ألف دولار) لاستغلال تجاوزات المخزن المؤقت وتصعيد الامتيازات في نظام التشغيل Microsoft Windows 11.
- 80 ألف دولار (جائزتان قيمة كل منهما 40 ألف دولار) لاستغلال خطأ في رمز التحقق من الوصول لزيادة الامتيازات في نظام التشغيل Microsoft Windows 11.
- 40 ألف دولار لاستغلال تجاوز الأعداد الصحيحة لتصعيد الامتيازات في نظام التشغيل Microsoft Windows 11.
- 40 ألف دولار لاستغلال ثغرة الاستخدام بعد الحرية في نظام التشغيل Microsoft Windows 11.
- 75 ألف دولار أمريكي لإثبات هجوم على نظام المعلومات والترفيه في طراز Telsa Model 3. وقد استخدم هذا الاستغلال أخطاء تؤدي إلى تجاوز سعة المخزن المؤقت والتحرير المزدوج، إلى جانب تقنية معروفة سابقًا لتجاوز عزل وضع الحماية.
تم إجراء محاولات منفصلة، لكنها لم تنجح، لاختراق نظام التشغيل Microsoft Windows 11 (6 عمليات اختراق ناجحة وواحدة غير ناجحة)، وTesla (اختراق واحد ناجح وواحد غير ناجح)، وMicrosoft Teams (1 عمليات اختراق ناجحة وواحدة غير ناجحة). لم تكن هناك طلبات لإظهار الثغرات في Google Chrome هذا العام.
المصدر: opennet.ru