Resultaterne af tre dage af Pwn2Own 2021-konkurrencen, der afholdes årligt som en del af CanSecWest-konferencen, er blevet opsummeret. Ligesom sidste år blev konkurrencen afholdt virtuelt, og angrebene blev demonstreret online. Af de 23 målrettede mål blev arbejdsteknikker til at udnytte hidtil ukendte sårbarheder demonstreret for Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams og Zoom. I alle tilfælde blev de seneste versioner af programmerne testet, inklusive alle tilgængelige opdateringer. Det samlede beløb for betalinger var en million to hundrede tusinde amerikanske dollars (den samlede præmiefond var halvanden million dollars).
Ved konkurrencen blev der gjort tre forsøg på at udnytte sårbarheder i Ubuntu Desktop. Det første og andet forsøg var gyldige, og angriberne var i stand til at demonstrere lokal eskalering af privilegier ved at udnytte hidtil ukendte sårbarheder relateret til bufferoverløb og dobbelt ledig hukommelse (hvilke komponenter af problemet er endnu ikke rapporteret; udviklere har 90 dage til at rette op på fejl før afsløring af data). Bonusser på $30 blev udbetalt for disse sårbarheder.
Det tredje forsøg, lavet af et andet hold i kategorien lokale privilegiemisbrug, lykkedes kun delvist - udnyttelsen virkede og gjorde det muligt at få root-adgang, men angrebet blev ikke fuldt krediteret, da fejlen i forbindelse med sårbarheden allerede var kendt til Ubuntu-udviklerne, og en opdatering med en rettelse var under forberedelse.
Et vellykket angreb blev også demonstreret for browsere baseret på Chromium-motoren - Google Chrome og Microsoft Edge. For at oprette en udnyttelse, der giver dig mulighed for at udføre din kode, når du åbner en specialdesignet side i Chrome og Edge (en universel udnyttelse blev oprettet til to browsere), blev der udbetalt en præmie på 100 tusind dollars. Rettelsen er planlagt til at blive offentliggjort i løbet af de kommende timer, så langt er alt, hvad der er kendt, at sårbarheden er til stede i den proces, der er ansvarlig for behandling af webindhold (renderer).
Andre vellykkede angreb:
- 200 tusind dollars for at hacke Zoom-applikationen (formåede at udføre sin kode ved at sende en besked til en anden bruger uden behov for nogen handling fra modtagerens side). Angrebet brugte tre sårbarheder i Zoom og en i Windows-operativsystemet.
- 200 tusind dollars for at hacke Microsoft Exchange (omgå godkendelse og lokalt eskalering af privilegier på serveren for at få administratorrettigheder). En anden succesfuld udnyttelse blev demonstreret for et andet hold, men andenpræmien blev ikke udbetalt, da de samme fejl allerede var blevet brugt af det første hold.
- 200 tusind dollars for at hacke Microsoft Teams (eksekvere kode på serveren).
- 100 USD for at udnytte Apple Safari (heltalsoverløb i Safari og bufferoverløb i macOS-kernen for at omgå sandkasse og eksekvere kode på kerneniveau).
- $140 tusinde for at hacke Parallels Desktop (forlade den virtuelle maskine og udføre kode på hovedsystemet). Angrebet blev udført gennem udnyttelse af tre forskellige sårbarheder - uinitialiseret hukommelseslækage, stak overløb og heltalsoverløb.
- To priser på 40 tusind dollars hver for at hacke Parallels Desktop (en logisk fejl og et bufferoverløb, der gjorde det muligt at eksekvere kode i et eksternt OS gennem handlinger inde i en virtuel maskine).
- Tre priser på 40 tusind dollars for tre succesfulde udnyttelser af Windows 10 (heltalsoverløb, adgang til allerede frigivet hukommelse og en racetilstand, der gjorde det muligt at opnå SYSTEM-privilegier).
Der blev gjort forsøg, men uden held, på at hacke Oracle VirtualBox. Nomineringer til hacking af Firefox, VMware ESXi, Hyper-V-klient, MS Office 365, MS SharePoint, MS RDP og Adobe Reader forblev uhævede. Der var heller ingen, der var villig til at demonstrere hackingen af informationssystemet i en Tesla-bil, på trods af præmien på 600 tusind dollars plus en Tesla Model 3-bil.
Kilde: opennet.ru