Výsledky tří dnů soutěže Pwn2Own 2021, která se každoročně koná v rámci konference CanSecWest, jsou sečteny. Stejně jako v loňském roce se soutěž konala virtuálně a útoky byly demonstrovány online. Z 23 zacílených cílů byly demonstrovány pracovní techniky pro zneužití dříve neznámých zranitelností pro Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams a Zoom. Ve všech případech byly testovány nejnovější verze programů včetně všech dostupných aktualizací. Celková částka plateb byla jeden milion dvě stě tisíc amerických dolarů (celkový cenový fond byl jeden a půl milionu dolarů).
V soutěži byly provedeny tři pokusy o zneužití zranitelností v Ubuntu Desktop. První a druhý pokus byly platné a útočníci byli schopni demonstrovat místní eskalaci oprávnění zneužitím dříve neznámých zranitelností souvisejících s přetečením vyrovnávací paměti a dvojnásobnou volnou pamětí (které součásti problému dosud nebyly hlášeny; vývojáři mají 90 dní na nápravu chyby před zveřejněním dat). Za tyto zranitelnosti byly vyplaceny bonusy ve výši 30 XNUMX USD.
Třetí pokus, který provedl jiný tým v kategorii zneužívání místních oprávnění, byl úspěšný jen částečně – exploit fungoval a umožnil získat root přístup, ale útok nebyl plně připsán, protože chyba spojená s chybou zabezpečení již byla známa vývojářům Ubuntu a aktualizace s opravou byla v procesu přípravy.
Úspěšný útok byl předveden i pro prohlížeče založené na enginu Chromium – Google Chrome a Microsoft Edge. Za vytvoření exploitu, který vám umožní spustit váš kód při otevření speciálně navržené stránky v Chrome a Edge (byl vytvořen jeden univerzální exploit pro dva prohlížeče), byla vyplacena cena 100 tisíc dolarů. Oprava má být zveřejněna v nadcházejících hodinách, zatím je známo pouze to, že zranitelnost je přítomna v procesu zodpovědném za zpracování webového obsahu (renderer).
Další úspěšné útoky:
- 200 tisíc dolarů za hacknutí aplikace Zoom (podařilo se vykonat jeho kód odesláním zprávy jinému uživateli, aniž by k tomu bylo potřeba jakékoli akce ze strany příjemce). Útok použil tři zranitelnosti v Zoomu a jednu v operačním systému Windows.
- 200 tisíc dolarů za hackování Microsoft Exchange (obcházení ověřování a lokálně eskalující oprávnění na serveru za účelem získání administrátorských práv). Další úspěšně fungující exploit byl předveden jinému týmu, ale druhá cena nebyla vyplacena, protože stejné chyby již použil první tým.
- 200 tisíc dolarů za hackování Microsoft Teams (spouštění kódu na serveru).
- 100 tisíc dolarů za využití Apple Safari (přetečení celého čísla v Safari a přetečení vyrovnávací paměti v jádře macOS pro obcházení sandboxu a spuštění kódu na úrovni jádra).
- 140 tisíc dolarů za hacknutí Parallels Desktop (opuštění virtuálního stroje a spuštění kódu v hlavním systému). Útok byl proveden s využitím tří různých zranitelností – neinicializovaného úniku paměti, přetečení zásobníku a přetečení celého čísla.
- Dvě ocenění po 40 tisících dolarů za hacknutí Parallels Desktop (logická chyba a přetečení vyrovnávací paměti, které umožnilo spouštění kódu v externím operačním systému prostřednictvím akcí uvnitř virtuálního počítače).
- Tři ocenění 40 tisíc dolarů za tři úspěšné exploity Windows 10 (přetečení celého čísla, přístup k již uvolněné paměti a race condition, která umožnila získat SYSTEM oprávnění).
Byly učiněny pokusy hacknout Oracle VirtualBox, ale byly neúspěšné. Nominace za hackování Firefox, VMware ESXi, Hyper-V klienta, MS Office 365, MS SharePoint, MS RDP a Adobe Reader zůstaly nevyzvednuté. Také se nenašel nikdo, kdo by byl ochoten předvést hacknutí informačního systému vozu Tesla, a to i přes výhru 600 tisíc dolarů plus vůz Tesla Model 3.
Zdroj: opennet.ru