Sumirani su rezultati tri dana takmičenja Pwn2Own 2021, koje se održava svake godine u okviru konferencije CanSecWest. Kao i prošle godine, takmičenje je održano virtuelno, a napadi su demonstrirani onlajn. Od 23 ciljana cilja, demonstrirane su radne tehnike za iskorištavanje ranije nepoznatih ranjivosti za Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams i Zoom. U svim slučajevima testirane su najnovije verzije programa, uključujući sva dostupna ažuriranja. Ukupan iznos uplata bio je milion i dvesta hiljada američkih dolara (ukupan nagradni fond bio je milion i po dolara).
Na takmičenju su učinjena tri pokušaja da se iskoriste ranjivosti u Ubuntu Desktopu. Prvi i drugi pokušaj bili su valjani i napadači su uspjeli demonstrirati lokalnu eskalaciju privilegija iskorištavanjem ranije nepoznatih ranjivosti u vezi sa prelivom bafera i dvostrukom slobodnom memorijom (koje komponente problema još nisu prijavljene; programeri imaju 90 dana da isprave greške prije objavljivanja podataka). Za ove ranjivosti isplaćeni su bonusi od 30 dolara.
Treći pokušaj, koji je napravio drugi tim u kategoriji zloupotrebe lokalnih privilegija, bio je samo djelomično uspješan - eksploatacija je uspjela i omogućila je dobivanje root pristupa, ali napad nije u potpunosti pripisan, jer je greška povezana s ranjivosti već bila poznata Ubuntu programerima i ažuriranje sa ispravkom je bilo u procesu pripreme.
Uspješan napad je također demonstriran za pretraživače bazirane na Chromium motoru - Google Chrome i Microsoft Edge. Za kreiranje exploit-a koji vam omogućava da izvršite svoj kod prilikom otvaranja posebno dizajnirane stranice u Chromeu i Edgeu (napravljen je jedan univerzalni exploit za dva pretraživača), isplaćena je nagrada od 100 hiljada dolara. Popravka je planirana za objavljivanje u narednim satima, a za sada se zna samo da je ranjivost prisutna u procesu odgovornom za obradu web sadržaja (renderer).
Ostali uspješni napadi:
- 200 hiljada dolara za hakovanje Zoom aplikacije (uspeo da izvrši svoj kod slanjem poruke drugom korisniku, bez potrebe za bilo kakvom radnjom od strane primaoca). Napad je koristio tri ranjivosti u Zoom-u i jednu u Windows operativnom sistemu.
- 200 hiljada dolara za hakovanje Microsoft Exchange-a (zaobilaženje autentifikacije i lokalno povećanje privilegija na serveru da bi se dobila administratorska prava). Još jedan uspješan eksploat je demonstriran drugom timu, ali druga nagrada nije isplaćena, jer je iste greške već koristio prvi tim.
- 200 hiljada dolara za hakovanje Microsoft timova (izvršavanje koda na serveru).
- 100 hiljada dolara za iskorišćavanje Apple Safarija (prelivanje celog broja u Safariju i prelivanje bafera u macOS kernelu da bi se zaobišlo sandbox i izvršio kod na nivou kernela).
- 140 hiljada dolara za hakovanje Parallels Desktop-a (izlazak iz virtuelne mašine i izvršavanje koda na glavnom sistemu). Napad je izveden kroz iskorištavanje tri različite ranjivosti - neinicijalizirano curenje memorije, prelivanje steka i prekoračenje cijelog broja.
- Dve nagrade od po 40 hiljada dolara za hakovanje Parallels Desktop-a (logička greška i prelivanje bafera koji je omogućio izvršavanje koda u eksternom OS-u kroz radnje unutar virtuelne mašine).
- Tri nagrade od 40 hiljada dolara za tri uspešna eksploatacije Windowsa 10 (prelivanje celog broja, pristup već oslobođenoj memoriji i trkački uslov koji je omogućio dobijanje SYSTEM privilegija).
Bilo je pokušaja, ali su bili neuspješni, da se hakuje Oracle VirtualBox. Nominacije za hakiranje Firefoxa, VMware ESXi, Hyper-V klijenta, MS Office 365, MS SharePoint, MS RDP i Adobe Reader ostale su nezatražene. Takođe, niko nije bio spreman da demonstrira hakovanje informacionog sistema automobila Tesla, uprkos nagradi od 600 hiljada dolara plus automobil Tesla Model 3.
izvor: opennet.ru