Падведзены вынікі трох дзён спаборніцтваў Pwn2Own 2021, якія штогод праводзяцца ў рамках канферэнцыі CanSecWest. Як і ў мінулым годзе спаборніцтвы праводзіліся віртуальна і атакі дэманстраваліся online. З 23 вызначаных мэт працоўныя тэхнікі эксплуатацыі раней невядомых уразлівасцяў былі прадэманстраваны для Ubuntu Desktop, Windows 10, Сhrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams і Zoom. Ва ўсіх выпадках тэсціравалі самыя свежыя версіі праграм, якія ўключаюць усе даступныя абнаўлення. Сумарны памер выплат склаў адзін мільён дзвесце тысяч долараў ЗША (агульны прызавы фонд налічваў паўтара мільёна долараў).
На спаборніцтвах былі зроблены тры спробы эксплуатацыі ўразлівасцяў у Ubuntu Desktop. Першая і другая спробы былі залічаны і атакавалым атрымалася прадэманстраваць лакальнае падвышэнне прывілеяў праз эксплуатацыю раней не вядомых уразлівасцяў, злучаных з перапаўненнем буфера і падвойным вызваленні памяці (у якіх менавіта кампанентах праблемы пакуль не паведамляецца, да расчынення дадзеных распрацоўнікам даецца 90 дзён на выпраўленне памылак). За дадзеныя ўразлівасці выплачаныя прэміі ў 30 тыс. даляраў.
Трэцяя спроба, зробленая іншай камандай у катэгорыі лакальнае перавышэнне прывілеяў, атрымалася толькі часткова - эксплоіт спрацаваў і даў магчымасць атрымаць доступ root, але напад была залічаная не цалкам, бо злучаная з уразлівасцю памылка ўжо была вядомая распрацоўнікам Ubuntu і абнаўленне з выпраўленнем знаходзілася на стадыі падрыхтоўкі.
Паспяховы напад таксама была прадэманстравана для браўзэраў на аснове рухавічка Chromium – Google Chrome і Microsoft Edge. За стварэнне эксплоіта, які дазваляе выканаць свой код пры адкрыцці спецыяльна аформленай старонкі ў Chrome і Edge (быў створаны адзін універсальны эксплоіт для двух браўзэраў), была выплачана прэмія ў 100 тысяч долараў. Выпраўленне плануецца апублікаваць у бліжэйшыя гадзіны, пакуль вядома толькі тое, што ўразлівасць прысутнічае ў працэсе, які адказвае за апрацоўку web-кантэнту (renderer).
Іншыя паспяховыя напады:
- 200 тысяч даляраў за ўзлом прыкладання Zoom (удалося выканаць свой код, даслаўшы паведамленне іншаму карыстачу, без неабходнасці здзяйснення з боку атрымальніка якіх-небудзь дзеянняў). Для нападу выкарыстоўваліся тры ўразлівасці ў Zoom і адна ў аперацыйнай сістэме Windows.
- 200 тысяч долараў за ўзлом Microsoft Exchange (абыход аўтэнтыфікацыі і лакальнае павышэнне прывілеяў на серверы для атрымання правоў адміністратара). Іншы каманднай быў прадэманстраваны яшчэ адзін паспяхова які працуе эксплоіт, але другая прэмія не была выплачаная, бо тыя ж памылкі ўжо былі скарыстаны першай камандай.
- 200 тысяч долараў за ўзлом Microsoft Teams (выкананне кода на серверы).
- 100 тысяч даляраў за эксплуатацыю Apple Safari (цэлалікавае перапаўненне ў Safari і перапаўненне буфера ў ядры macOS для абыходу sandbox і выкананні кода на ўзроўні ядра).
- 140 тысяч долараў за ўзлом Parallels Desktop (выхад з віртуальнай машыны і выкананне кода ў асноўнай сістэме). Атака здзейснена праз эксплуатацыю трох розных уразлівасцяў - уцечкі неініцыялізаванай памяці, перапаўненні стэка і цэлалікавага перапаўнення.
- Дзве прэміі па 40 тысяч даляраў за ўзломы Parallels Desktop (лагічная памылка і перапаўненне буфера, якія дазволілі выканаць код у вонкавай АС праз дзеянні ўсярэдзіне віртуальнай машыны).
- Тры прэміі па 40 тысяч даляраў за тры паспяховых эксплуатацыі Windows 10 (цэлалікавае перапаўненне, зварот да ўжо вызваленай памяці і стан гонкі, якія дазволілі дамагчыся атрыманні прывілеяў SYSTEM).
Прынятыя, але не ўвянчаліся поспехам, спробы ўзлому Oracle VirtualBox. Намінацыі за ўзлом Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP і Adobe Reader засталася незапатрабаванымі. Таксама не знайшлося жадаючых прадэмантаваць узлом інфармацыйнай сістэмы аўтамабіля Tesla, нягледзячы на прыз у 600 тысяч долараў плюс аўтамабіль Tesla Model 3.
Крыніца: opennet.ru