Die Ergebnisse der drei Tage des Wettbewerbs Pwn2Own 2021, der jährlich im Rahmen der CanSecWest-Konferenz stattfindet, wurden zusammengefasst. Wie im letzten Jahr fand der Wettbewerb virtuell statt und die Angriffe wurden online demonstriert. Von den 23 Zielen wurden Arbeitstechniken zur Ausnutzung bisher unbekannter Schwachstellen für Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams und Zoom demonstriert. Getestet wurden in allen Fällen die aktuellsten Versionen der Programme inklusive aller verfügbaren Updates. Der Gesamtbetrag der Zahlungen betrug eine Million zweihunderttausend US-Dollar (der gesamte Preisfonds betrug eineinhalb Millionen Dollar).
Bei dem Wettbewerb wurden drei Versuche unternommen, Schwachstellen in Ubuntu Desktop auszunutzen. Der erste und der zweite Versuch waren gültig und die Angreifer konnten eine lokale Eskalation von Berechtigungen nachweisen, indem sie zuvor unbekannte Schwachstellen im Zusammenhang mit Pufferüberlauf und doppeltem freien Speicher ausnutzten (welche Komponenten des Problems noch nicht gemeldet wurden; Entwickler haben 90 Tage Zeit, um sie zu beheben). Fehler vor der Offenlegung der Daten). Für diese Schwachstellen wurden Prämien in Höhe von 30 US-Dollar gezahlt.
Der dritte Versuch, der von einem anderen Team in der Kategorie „Lokaler Privilegienmissbrauch“ unternommen wurde, war nur teilweise erfolgreich – der Exploit funktionierte und ermöglichte den Root-Zugriff, der Angriff wurde jedoch nicht vollständig gewürdigt, da der mit der Schwachstelle verbundene Fehler bereits bekannt war an die Ubuntu-Entwickler und ein Update mit einem Fix war in Vorbereitung.
Auch für Browser, die auf der Chromium-Engine basieren – Google Chrome und Microsoft Edge – wurde ein erfolgreicher Angriff nachgewiesen. Für die Erstellung eines Exploits, der es Ihnen ermöglicht, Ihren Code beim Öffnen einer speziell gestalteten Seite in Chrome und Edge auszuführen (ein universeller Exploit wurde für zwei Browser erstellt), wurde ein Preisgeld von 100 Dollar ausgezahlt. Die Veröffentlichung des Fixes ist in den kommenden Stunden geplant, bisher ist lediglich bekannt, dass die Schwachstelle im für die Verarbeitung von Webinhalten verantwortlichen Prozess (Renderer) vorliegt.
Weitere erfolgreiche Angriffe:
- 200 US-Dollar für das Hacken der Zoom-Anwendung (es gelang ihm, seinen Code auszuführen, indem er eine Nachricht an einen anderen Benutzer schickte, ohne dass der Empfänger etwas unternehmen musste). Der Angriff nutzte drei Schwachstellen in Zoom und eine im Windows-Betriebssystem.
- 200 US-Dollar für das Hacken von Microsoft Exchange (Umgehen der Authentifizierung und lokale Erweiterung der Berechtigungen auf dem Server, um Administratorrechte zu erlangen). Ein weiterer erfolgreich funktionierender Exploit wurde einem anderen Team vorgeführt, der zweite Preis wurde jedoch nicht ausgezahlt, da die gleichen Fehler bereits vom ersten Team genutzt wurden.
- 200 US-Dollar für das Hacken von Microsoft Teams (Ausführen von Code auf dem Server).
- 100 US-Dollar für die Ausnutzung von Apple Safari (Ganzzahlüberlauf in Safari und Pufferüberlauf im macOS-Kernel, um die Sandbox zu umgehen und Code auf Kernelebene auszuführen).
- 140 US-Dollar für das Hacken von Parallels Desktop (Verlassen der virtuellen Maschine und Ausführen von Code auf dem Hauptsystem). Der Angriff wurde durch die Ausnutzung von drei verschiedenen Schwachstellen durchgeführt: nicht initialisierter Speicherverlust, Stapelüberlauf und Ganzzahlüberlauf.
- Zwei Auszeichnungen in Höhe von jeweils 40 US-Dollar für das Hacken von Parallels Desktop (ein logischer Fehler und ein Pufferüberlauf, der die Ausführung von Code in einem externen Betriebssystem durch Aktionen innerhalb einer virtuellen Maschine ermöglichte).
- Drei Auszeichnungen in Höhe von 40 Dollar für drei erfolgreiche Exploits von Windows 10 (Integer-Überlauf, Zugriff auf bereits freigegebenen Speicher und eine Race-Bedingung, die den Erhalt von SYSTEM-Berechtigungen ermöglichte).
Es wurden Versuche unternommen, Oracle VirtualBox zu hacken, die jedoch erfolglos blieben. Nominierungen für das Hacken von Firefox, VMware ESXi, Hyper-V-Client, MS Office 365, MS SharePoint, MS RDP und Adobe Reader blieben unbeansprucht. Es gab auch niemanden, der bereit war, das Hacken des Informationssystems eines Tesla-Autos zu demonstrieren, trotz des Preises von 600 Dollar plus einem Tesla Model 3-Auto.
Source: opennet.ru