S'han resumit els resultats de tres dies del concurs Pwn2Own 2021, que se celebra anualment en el marc de la conferència CanSecWest. Com l'any passat, la competició es va celebrar de manera virtual i els atacs es van demostrar en línia. Dels 23 objectius apuntats, es van demostrar tècniques de treball per explotar vulnerabilitats desconegudes anteriorment per a Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams i Zoom. En tots els casos, es van provar les últimes versions dels programes, incloses totes les actualitzacions disponibles. L'import total dels pagaments va ser d'un milió dos-cents mil dòlars dels EUA (el fons total del premi va ser d'un milió i mig de dòlars).
A la competició, es van fer tres intents per explotar vulnerabilitats a l'escriptori Ubuntu. El primer i segon intent van ser vàlids i els atacants van poder demostrar l'escalada local de privilegis mitjançant l'explotació de vulnerabilitats desconegudes anteriorment relacionades amb el desbordament de memòria intermèdia i la memòria lliure doble (quins components del problema encara no s'han informat; els desenvolupadors tenen 90 dies per corregir-los). errors abans de revelar dades). Es van pagar bonificacions de 30 dòlars per aquestes vulnerabilitats.
El tercer intent, fet per un altre equip de la categoria d'abús de privilegis locals, només va tenir èxit parcial: l'explotació va funcionar i va permetre obtenir accés root, però l'atac no es va acreditar completament, ja que l'error associat a la vulnerabilitat ja es coneixia. als desenvolupadors d'Ubuntu i una actualització amb una correcció estava en procés de preparació.
També es va demostrar un atac reeixit per als navegadors basats en el motor Chromium: Google Chrome i Microsoft Edge. Per crear un exploit que us permeti executar el vostre codi en obrir una pàgina especialment dissenyada a Chrome i Edge (es va crear un exploit universal per a dos navegadors), es va pagar un premi de 100 mil dòlars. La correcció està previst que es publiqui en les properes hores, fins ara l'únic que se sap és que la vulnerabilitat està present en el procés encarregat de processar el contingut web (renderer).
Altres atacs reeixits:
- 200 mil dòlars per piratejar l'aplicació Zoom (va aconseguir executar el seu codi enviant un missatge a un altre usuari, sense necessitat de cap acció per part del destinatari). L'atac va utilitzar tres vulnerabilitats a Zoom i una al sistema operatiu Windows.
- 200 dòlars per piratejar Microsoft Exchange (obviant l'autenticació i augmentant localment els privilegis al servidor per obtenir drets d'administrador). Es va demostrar a un altre equip un altre exploit que funcionava amb èxit, però no es va pagar el segon premi, ja que el primer equip ja havia utilitzat els mateixos errors.
- 200 mil dòlars per piratejar Microsoft Teams (executant codi al servidor).
- 100 dòlars per explotar Apple Safari (desbordament de nombres enters a Safari i desbordament de memòria intermèdia al nucli de macOS per evitar el sandbox i executar codi al nivell del nucli).
- 140 mil dòlars per piratejar Parallels Desktop (sortir de la màquina virtual i executar codi al sistema principal). L'atac es va dur a terme mitjançant l'explotació de tres vulnerabilitats diferents: fuga de memòria no inicialitzada, desbordament de pila i desbordament d'enter.
- Dos premis de 40 mil dòlars cadascun per piratejar Parallels Desktop (un error lògic i un desbordament de memòria intermèdia que va permetre executar codi en un sistema operatiu extern mitjançant accions dins d'una màquina virtual).
- Tres premis de 40 mil dòlars per a tres exploits reeixits de Windows 10 (desbordament d'integer, accés a la memòria ja alliberada i una condició de carrera que permetia obtenir privilegis SYSTEM).
Es van fer intents, però sense èxit, de piratejar Oracle VirtualBox. Les nominacions per piratejar Firefox, VMware ESXi, client Hyper-V, MS Office 365, MS SharePoint, MS RDP i Adobe Reader no es van reclamar. Tampoc no hi havia ningú disposat a demostrar la pirateria del sistema d'informació d'un cotxe Tesla, malgrat el premi de 600 mil dòlars més un cotxe Tesla Model 3.
Font: opennet.ru