На сорСвновании Pwn2Own 2022 продСмонстрировано 5 Π²Π·Π»ΠΎΠΌΠΎΠ² Ubuntu

ΠŸΠΎΠ΄Π²Π΅Π΄Π΅Π½Ρ‹ ΠΈΡ‚ΠΎΠ³ΠΈ Ρ‚Ρ€Ρ‘Ρ… Π΄Π½Π΅ΠΉ сорСвнований Pwn2Own 2022, Π΅ΠΆΠ΅Π³ΠΎΠ΄Π½ΠΎ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠΌΡ‹Ρ… Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΊΠΎΠ½Ρ„Π΅Ρ€Π΅Π½Ρ†ΠΈΠΈ CanSecWest. Π Π°Π±ΠΎΡ‡ΠΈΠ΅ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ эксплуатации Ρ€Π°Π½Π΅Π΅ нСизвСстных уязвимостСй Π±Ρ‹Π»ΠΈ продСмонстрированы для Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams ΠΈ Firefox. ВсСго Π±Ρ‹Π»ΠΎ продСмонстрировано 25 ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ, Π° Ρ‚Ρ€ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ Π·Π°Π²Π΅Ρ€ΡˆΠΈΠ»ΠΈΡΡŒ Π½Π΅ΡƒΠ΄Π°Ρ‡Π΅ΠΉ. ΠŸΡ€ΠΈ ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠΈ Π°Ρ‚Π°ΠΊ использовались самыС свСТиС ΡΡ‚Π°Π±ΠΈΠ»ΡŒΠ½Ρ‹Π΅ выпуски ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ² ΠΈ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм со всСми доступными обновлСниями ΠΈ Π² ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ. Π‘ΡƒΠΌΠΌΠ°Ρ€Π½Ρ‹ΠΉ Ρ€Π°Π·ΠΌΠ΅Ρ€ Π²Ρ‹ΠΏΠ»Π°Ρ‡Π΅Π½Π½Ρ‹Ρ… Π²ΠΎΠ·Π½Π°Π³Ρ€Π°ΠΆΠ΄Π΅Π½ΠΈΠΉ составил 1,155,000 Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² БША.

На сорСвнованиях продСмонстрировано ΠΏΡΡ‚ΡŒ ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹Ρ… ΠΏΠΎΠΏΡ‹Ρ‚ΠΎΠΊ эксплуатации Ρ€Π°Π½Π΅Π΅ нСизвСстных уязвимостСй Π² Ubuntu Desktop, прСдпринятых Ρ€Π°Π·Π½Ρ‹ΠΌΠΈ ΠΊΠΎΠΌΠ°Π½Π΄Π°ΠΌΠΈ участников. Одна прСмия Π² 40 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² Π±Ρ‹Π»Π° Π²Ρ‹ΠΏΠ»Π°Ρ‡Π΅Π½Π° Π·Π° Π΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€Π°Ρ†ΠΈΡŽ локального ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ Π² Ubuntu Desktop Ρ‡Π΅Ρ€Π΅Π· ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ Π΄Π²ΡƒΡ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ, связанных с ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ΠΌ Π±ΡƒΡ„Π΅Ρ€Π° ΠΈ Π΄Π²ΠΎΠΉΠ½Ρ‹ΠΌ освобоТдСниСм памяти. Π§Π΅Ρ‚Ρ‹Ρ€Π΅ ΠΏΡ€Π΅ΠΌΠΈΠΈ, Ρ€Π°Π·ΠΌΠ΅Ρ€ΠΎΠΌ 40 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² каТдая, Π±Ρ‹Π»ΠΈ Π²Ρ‹ΠΏΠ»Π°Ρ‡Π΅Π½Ρ‹ Π·Π° Π΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€Π°Ρ†ΠΈΡŽ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ Ρ‡Π΅Ρ€Π΅Π· ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ уязвимостСй, связанных с ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ΠΌ ΠΊ памяти послС Π΅Ρ‘ освобоТдСния (Use-After-Free).

Π’ ΠΊΠ°ΠΊΠΈΡ… ΠΈΠΌΠ΅Π½Π½ΠΎ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ ΠΏΠΎΠΊΠ° Π½Π΅ сообщаСтся, Π² соотвСтствии с условиями конкурса Π΄Π΅Ρ‚Π°Π»ΡŒΠ½Π°Ρ информация ΠΎ всСх продСмонстрированных 0-day уязвимостях Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π° Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ρ‡Π΅Ρ€Π΅Π· 90 Π΄Π½Π΅ΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π΄Π°ΡŽΡ‚ΡΡ Π½Π° ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΊΡƒ производитСлями ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠΉ с устранСниСм уязвимостСй.

На сорСвновании Pwn2Own 2022 продСмонстрировано 5 Π²Π·Π»ΠΎΠΌΠΎΠ² Ubuntu

Π”Ρ€ΡƒΠ³ΠΈΠ΅ ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ:

  • 100 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² Π·Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ эксплоита ΠΊ Firefox, позволившСго ΠΏΡ€ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΈΠΈ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΎΡ„ΠΎΡ€ΠΌΠ»Π΅Π½Π½ΠΎΠΉ страницы ΠΎΠ±ΠΎΠΉΡ‚ΠΈ sandbox-ΠΈΠ·ΠΎΠ»ΡΡ†ΠΈΡŽ ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΊΠΎΠ΄ Π² систСмС.
  • 40 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² Π·Π° Π΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€Π°Ρ†ΠΈΡŽ эксплоита, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π΅Π³ΠΎ ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π° Π² Oracle Virtualbox для Π²Ρ‹Ρ…ΠΎΠ΄Π° ΠΈΠ· гостСвой систСмы.
  • 50 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² Π·Π° ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ Apple Safari (ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Π±ΡƒΡ„Π΅Ρ€Π°).
  • 450 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² Π·Π° Π²Π·Π»ΠΎΠΌΡ‹ Microsoft Teams (Ρ€Π°Π·Π½Ρ‹Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ продСмонстрировали Ρ‚Ρ€ΠΈ Π²Π·Π»ΠΎΠΌΠ° с Π½Π°Π³Ρ€Π°Π΄ΠΎΠΉ ΠΏΠΎ 150 тысяч Π·Π° ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ).
  • 80 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² (Π΄Π²Π΅ ΠΏΡ€Π΅ΠΌΠΈΠΈ ΠΏΠΎ 40 тысяч) Π·Π° ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠΉ Π±ΡƒΡ„Π΅Ρ€Π° ΠΈ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ своих ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ Π² Microsoft Windows 11.
  • 80 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² (Π΄Π²Π΅ ΠΏΡ€Π΅ΠΌΠΈΠΈ ΠΏΠΎ 40 тысяч) Π·Π° ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ ошибки Π² ΠΊΠΎΠ΄Π΅ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ доступа для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ своих ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ Π² Microsoft Windows 11.
  • 40 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² Π·Π° ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ цСлочислСнного пСрСполнСния для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ своих ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ Π² Microsoft Windows 11.
  • 40 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² Π·Π° ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ уязвимости, связанной с ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ΠΌ ΠΊ памяти послС Π΅Ρ‘ освобоТдСния (Use-After-Free), Π² Microsoft Windows 11.
  • 75 тысяч Π΄ΠΎΠ»Π»Π°Ρ€ΠΎΠ² Π·Π° Π΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€Π°Ρ†ΠΈΡŽ Π°Ρ‚Π°ΠΊΠΈ Π½Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎ-Ρ€Π°Π·Π²Π»Π΅ΠΊΠ°Ρ‚Π΅Π»ΡŒΠ½ΡƒΡŽ систСму автомобиля Telsa Model 3. Π’ эксплоитС использовались ошибки, приводящиС ΠΊ ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ Π±ΡƒΡ„Π΅Ρ€Π° ΠΈ Π΄Π²ΠΎΠΉΠ½ΠΎΠΌΡƒ освобоТдСнию памяти, вмСстС с Ρ€Π°Π½Π΅Π΅ извСстной Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΎΠΉ ΠΎΠ±Ρ…ΠΎΠ΄Π° sandbox-изоляции.

ΠŸΡ€Π΅Π΄ΠΏΡ€ΠΈΠ½ΡΡ‚Ρ‹, Π½ΠΎ Π½Π΅ ΡƒΠ²Π΅Π½Ρ‡Π°Π»ΠΈΡΡŒ успСхом, ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ Π²Π·Π»ΠΎΠΌΠ° Microsoft Windows 11 (6 ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹Ρ… Π²Π·Π»ΠΎΠΌΠΎΠ² ΠΈ 1 Π½Π΅ΡƒΠ΄Π°Ρ‡Π½Ρ‹ΠΉ), Tesla (1 ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹ΠΉ Π²Π·Π»ΠΎΠΌ ΠΈ 1 Π½Π΅ΡƒΠ΄Π°Ρ‡Π½Ρ‹ΠΉ) ΠΈ Microsoft Teams (3 ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹Ρ… Π²Π·Π»ΠΎΠΌΠ° ΠΈ 1 Π½Π΅ΡƒΠ΄Π°Ρ‡Π½Ρ‹ΠΉ). Заявок Π½Π° Π΄Π΅ΠΌΠΎΠ½ΡΡ‚Ρ€Π°Ρ†ΠΈΡŽ эксплоитов Π² Google Chrome Π² этом Π³ΠΎΠ΄Ρƒ Π½Π΅ Π±Ρ‹Π»ΠΎ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ