Συνοψίστηκαν τα αποτελέσματα των τριών ημερών του διαγωνισμού Pwn2Own 2021, που διεξάγεται κάθε χρόνο στο πλαίσιο του συνεδρίου CanSecWest. Όπως και πέρυσι, ο διαγωνισμός έγινε εικονικά και οι επιθέσεις παρουσιάστηκαν διαδικτυακά. Από τους 23 στοχευμένους στόχους, επιδείχθηκαν τεχνικές εργασίας για την εκμετάλλευση προηγουμένως άγνωστων τρωτών σημείων για Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams και Zoom. Σε όλες τις περιπτώσεις, δοκιμάστηκαν οι πιο πρόσφατες εκδόσεις των προγραμμάτων, συμπεριλαμβανομένων όλων των διαθέσιμων ενημερώσεων. Το συνολικό ποσό των πληρωμών ήταν ένα εκατομμύριο διακόσιες χιλιάδες δολάρια ΗΠΑ (το συνολικό χρηματικό έπαθλο ήταν ενάμισι εκατομμύριο δολάρια).
Στον διαγωνισμό, έγιναν τρεις προσπάθειες εκμετάλλευσης τρωτών σημείων στο Ubuntu Desktop. Η πρώτη και η δεύτερη προσπάθεια ήταν έγκυρες και οι εισβολείς μπόρεσαν να επιδείξουν τοπική κλιμάκωση των προνομίων εκμεταλλευόμενοι προηγουμένως άγνωστες ευπάθειες που σχετίζονται με υπερχείλιση buffer και διπλή ελεύθερη μνήμη (τα οποία στοιχεία του προβλήματος δεν έχουν ακόμη αναφερθεί. Οι προγραμματιστές έχουν 90 ημέρες για να διορθώσουν λάθη πριν από την αποκάλυψη δεδομένων). Για αυτές τις ευπάθειες καταβλήθηκαν μπόνους 30 $.
Η τρίτη προσπάθεια, που έγινε από άλλη ομάδα στην κατηγορία τοπικής κατάχρησης προνομίων, ήταν μόνο εν μέρει επιτυχής - το exploit λειτούργησε και κατέστησε δυνατή την απόκτηση πρόσβασης root, αλλά η επίθεση δεν πιστώθηκε πλήρως, καθώς το σφάλμα που σχετίζεται με την ευπάθεια ήταν ήδη γνωστό στους προγραμματιστές του Ubuntu και μια ενημέρωση με επιδιόρθωση βρισκόταν στη διαδικασία προετοιμασίας.
Μια επιτυχημένη επίθεση αποδείχθηκε επίσης για προγράμματα περιήγησης που βασίζονται στη μηχανή Chromium - Google Chrome και Microsoft Edge. Για τη δημιουργία ενός exploit που σας επιτρέπει να εκτελέσετε τον κώδικά σας κατά το άνοιγμα μιας ειδικά σχεδιασμένης σελίδας στο Chrome και στο Edge (δημιουργήθηκε ένα καθολικό exploit για δύο προγράμματα περιήγησης), καταβλήθηκε ένα έπαθλο 100 χιλιάδων δολαρίων. Η επιδιόρθωση σχεδιάζεται να δημοσιευτεί τις επόμενες ώρες, μέχρι στιγμής το μόνο που είναι γνωστό είναι ότι η ευπάθεια υπάρχει στη διαδικασία που είναι υπεύθυνη για την επεξεργασία περιεχομένου ιστού (renderer).
Άλλες επιτυχημένες επιθέσεις:
- $200 χιλιάδες για το χακάρισμα της εφαρμογής Zoom (κατάφερε να εκτελέσει τον κωδικό του στέλνοντας μήνυμα σε άλλο χρήστη, χωρίς να χρειαστεί καμία ενέργεια από την πλευρά του παραλήπτη). Η επίθεση χρησιμοποίησε τρία τρωτά σημεία στο Zoom και ένα στο λειτουργικό σύστημα Windows.
- $200 χιλιάδες για την παραβίαση του Microsoft Exchange (παράκαμψη του ελέγχου ταυτότητας και τοπική κλιμάκωση των προνομίων στον διακομιστή για την απόκτηση δικαιωμάτων διαχειριστή). Ένα άλλο επιτυχημένο αποτέλεσμα επιδείχθηκε σε άλλη ομάδα, αλλά το δεύτερο βραβείο δεν καταβλήθηκε, καθώς τα ίδια λάθη είχαν ήδη χρησιμοποιηθεί από την πρώτη ομάδα.
- 200 χιλιάδες δολάρια για το χακάρισμα του Microsoft Teams (εκτέλεση κώδικα στον διακομιστή).
- $100 χιλιάδες για την εκμετάλλευση του Apple Safari (υπερχείλιση ακέραιου στο Safari και υπερχείλιση buffer στον πυρήνα macOS για παράκαμψη του sandbox και εκτέλεση κώδικα σε επίπεδο πυρήνα).
- $140 χιλιάδες για την παραβίαση του Parallels Desktop (έξοδος από την εικονική μηχανή και εκτέλεση κώδικα στο κύριο σύστημα). Η επίθεση πραγματοποιήθηκε μέσω της εκμετάλλευσης τριών διαφορετικών τρωτών σημείων - μη αρχικοποιημένης διαρροής μνήμης, υπερχείλισης στοίβας και υπερχείλισης ακεραίων.
- Δύο βραβεία των 40 χιλιάδων δολαρίων το καθένα για παραβίαση του Parallels Desktop (λογικό σφάλμα και υπερχείλιση buffer που επέτρεψε την εκτέλεση κώδικα σε εξωτερικό λειτουργικό σύστημα μέσω ενεργειών μέσα σε μια εικονική μηχανή).
- Τρία βραβεία των 40 χιλιάδων δολαρίων για τρεις επιτυχημένες εκμεταλλεύσεις των Windows 10 (υπερχείλιση ακέραιου αριθμού, πρόσβαση σε ήδη ελευθερωμένη μνήμη και συνθήκη αγώνα που επέτρεψε την απόκτηση προνομίων SYSTEM).
Έγιναν προσπάθειες, αλλά ήταν ανεπιτυχείς, να χακαριστεί το Oracle VirtualBox. Οι υποψηφιότητες για χακάρισμα του Firefox, του VMware ESXi, του προγράμματος-πελάτη Hyper-V, του MS Office 365, του MS SharePoint, του MS RDP και του Adobe Reader παρέμειναν αζήτητες. Επίσης, κανείς δεν ήταν διατεθειμένος να επιδείξει την παραβίαση του συστήματος πληροφοριών ενός αυτοκινήτου Tesla, παρά το έπαθλο των 600 χιλιάδων δολαρίων συν ένα αυτοκίνητο Tesla Model 3.
Πηγή: opennet.ru