Резултатите от три дни от състезанието Pwn2Own 2021, провеждано ежегодно като част от конференцията CanSecWest, бяха обобщени. Както и миналата година, състезанието се проведе виртуално, а атаките бяха демонстрирани онлайн. От 23-те целеви цели бяха демонстрирани работещи техники за използване на неизвестни досега уязвимости за Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams и Zoom. Във всички случаи бяха тествани най-новите версии на програмите, включително всички налични актуализации. Общата сума на плащанията беше един милион и двеста хиляди щатски долара (общият награден фонд беше един и половина милиона долара).
На състезанието бяха направени три опита за използване на уязвимости в Ubuntu Desktop. Първият и вторият опит бяха валидни и нападателите успяха да демонстрират локална ескалация на привилегиите чрез използване на неизвестни преди това уязвимости, свързани с препълване на буфера и двойно освобождаване на памет (кои компоненти на проблема все още не са докладвани; на разработчиците са дадени 90 дни за коригиране грешки преди разкриване на данни). За тези уязвимости бяха изплатени бонуси от $30 XNUMX.
Третият опит, направен от друг екип в категорията за злоупотреба с локални привилегии, беше само частично успешен - експлойтът проработи и направи възможно получаването на root достъп, но атаката не беше напълно кредитирана, тъй като грешката, свързана с уязвимостта, вече беше известна на разработчиците на Ubuntu и актуализация с корекция беше в процес на подготовка.
Успешна атака беше демонстрирана и за браузъри, базирани на Chromium енджина – Google Chrome и Microsoft Edge. За създаването на експлойт, който ви позволява да изпълните кода си при отваряне на специално проектирана страница в Chrome и Edge (един универсален експлойт е създаден за два браузъра), беше изплатена награда от 100 хиляди долара. Корекцията се планира да бъде публикувана в следващите часове, засега всичко, което е известно, е, че уязвимостта присъства в процеса, отговорен за обработката на уеб съдържание (renderer).
Други успешни атаки:
- $200 хил. за хакване на приложението Zoom (успял да изпълни своя код чрез изпращане на съобщение до друг потребител, без да е необходимо каквото и да било действие от страна на получателя). Атаката използва три уязвимости в Zoom и една в операционната система Windows.
- $200 хиляди за хакване на Microsoft Exchange (заобикаляне на удостоверяването и локално повишаване на привилегиите на сървъра за получаване на администраторски права). Друг успешно работещ експлойт беше демонстриран на друг отбор, но втората награда не беше изплатена, тъй като същите грешки вече бяха използвани от първия отбор.
- $200 хиляди за хакване на Microsoft Teams (изпълнение на код на сървъра).
- $100 хиляди за използване на Apple Safari (препълване на цели числа в Safari и препълване на буфер в ядрото на macOS за заобикаляне на пясъчника и изпълнение на код на ниво ядро).
- $140 хиляди за хакване на Parallels Desktop (излизане от виртуалната машина и изпълнение на код на основната система). Атаката е извършена чрез използване на три различни уязвимости - неинициализирано изтичане на памет, препълване на стека и препълване на цели числа.
- Две награди от по 40 хиляди долара за хакване на Parallels Desktop (логическа грешка и препълване на буфера, което позволява изпълнението на код във външна операционна система чрез действия във виртуална машина).
- Три награди от 40 хиляди долара за три успешни експлойта на Windows 10 (препълване на цели числа, достъп до вече освободена памет и условие за състезание, което позволява получаването на SYSTEM привилегии).
Бяха направени опити, но неуспешни, за хакване на Oracle VirtualBox. Номинациите за хакване на Firefox, VMware ESXi, Hyper-V клиент, MS Office 365, MS SharePoint, MS RDP и Adobe Reader останаха непотърсени. Нямаше и желаещи да демонстрират хакване на информационната система на автомобил Tesla, въпреки наградата от 600 хиляди долара плюс автомобил Tesla Model 3.
Източник: opennet.ru