La rezultoj de tri tagoj de la konkurso Pwn2Own 2021, okazigita ĉiujare kiel parto de la konferenco CanSecWest, estis resumitaj. Kiel pasintjare, la konkurso estis okazigita virtuale kaj la atakoj estis pruvitaj rete. El la 23 celitaj celoj, laborteknikoj por ekspluati antaŭe nekonatajn vundeblecojn estis pruvitaj por Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams kaj Zoom. En ĉiuj kazoj, la plej novaj versioj de la programoj estis provitaj, inkluzive de ĉiuj disponeblaj ĝisdatigoj. La totala kvanto de pagoj estis unu miliono ducent mil usonaj dolaroj (la totala premiofonduso estis miliono kaj duono da dolaroj).
Ĉe la konkurso, tri provoj estis faritaj por ekspluati vundeblecojn en Ubuntu Desktop. La unua kaj dua provoj estis validaj kaj la atakantoj povis pruvi lokan eskaladon de privilegioj ekspluatante antaŭe nekonatajn vundeblecojn ligitajn al bufrosuperfluo kaj duobla libera memoro (kiujn komponentojn de la problemo ankoraŭ ne estis raportitaj; programistoj ricevas 90 tagojn por korekti). eraroj antaŭ malkaŝado de datumoj). Gratifikoj de $ 30 estis pagitaj por ĉi tiuj vundeblecoj.
La tria provo, farita de alia teamo en la loka privilegia misuzo kategorio, estis nur parte sukcesa - la ekspluato funkciis kaj ebligis akiri radikan aliron, sed la atako ne estis plene kreditita, ĉar la eraro asociita kun la vundebleco jam estis konata. al la Ubuntu-programistoj kaj ĝisdatigo kun solvo estis en la procezo de preparado.
Sukcesa atako ankaŭ estis pruvita por retumiloj bazitaj sur la Chromium-motoro - Google Chrome kaj Microsoft Edge. Por krei ekspluataĵon, kiu ebligas al vi ekzekuti vian kodon malfermante speciale desegnitan paĝon en Chrome kaj Edge (unu universala ekspluato estis kreita por du retumiloj), premio de 100 mil dolaroj estis pagita. La riparo estas planita esti eldonita en la venontaj horoj, ĝis nun oni scias nur, ke la vundebleco ĉeestas en la procezo respondeca pri prilaborado de retenhavo (renderer).
Aliaj sukcesaj atakoj:
- 200 mil USD por hakado de la aplikaĵo Zoom (sukcesis ekzekuti sian kodon sendante mesaĝon al alia uzanto, sen neceso de ia ago de la ricevanto). La atako uzis tri vundeblecojn en Zoom kaj unu en la Vindoza operaciumo.
- 200 mil USD por hakado de Microsoft Exchange (preterpasante aŭtentikigon kaj loke pliigante privilegiojn sur la servilo por akiri administrantajn rajtojn). Alia sukcese funkcianta heroaĵo estis pruvita al alia teamo, sed la dua premio ne estis pagita, ĉar la samaj eraroj jam estis uzitaj fare de la unua teamo.
- $ 200 mil por hakado de Microsoft Teamoj (plenumante kodon sur la servilo).
- 100 mil USD por ekspluatado de Apple Safari (entjera superfluo en Safaro kaj bufrosuperfluo en la macOS-kerno por preteriri sablokeston kaj ekzekuti kodon ĉe la kernelnivelo).
- $140 mil por hakado de Parallels Desktop (eliro de la virtuala maŝino kaj ekzekuti kodon en la ĉefa sistemo). La atako estis efektivigita per la ekspluatado de tri malsamaj vundeblecoj - neinicialigita memorfuĝo, staka superfluo kaj entjera superfluo.
- Du premioj po 40 mil dolaroj por hakado de Parallels Desktop (logika eraro kaj bufro-superfluo, kiu permesis ekzekuti kodon en ekstera OS per agoj ene de virtuala maŝino).
- Tri premioj de 40 mil dolaroj por tri sukcesaj ekspluatoj de Vindozo 10 (entjera superfluo, aliro al jam liberigita memoro kaj vetkura kondiĉo, kiu permesis akiri SYSTEM-privilegiojn).
Provoj estis faritaj, sed estis malsukcesaj, haki Oracle VirtualBox. Nomumoj por hakado de Firefox, VMware ESXi, Hyper-V-kliento, MS Office 365, MS SharePoint, MS RDP kaj Adobe Reader restis nepostulitaj. Ankaŭ neniu volis pruvi la hakadon de la informsistemo de aŭto Tesla, malgraŭ la premio de 600 mil dolaroj plus aŭto Tesla Model 3.
fonto: opennet.ru