Se han resumido los resultados de tres días del concurso Pwn2Own 2021, que se celebra anualmente en el marco de la conferencia CanSecWest. Como el año pasado, la competición se celebró virtualmente y los ataques se demostraron online. De los 23 objetivos objetivo, se demostraron técnicas de trabajo para explotar vulnerabilidades previamente desconocidas para Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams y Zoom. En todos los casos se probaron las últimas versiones de los programas, incluidas todas las actualizaciones disponibles. El monto total de los pagos fue de un millón doscientos mil dólares estadounidenses (el fondo total de premios fue de un millón y medio de dólares).
En el concurso se hicieron tres intentos de explotar vulnerabilidades en Ubuntu Desktop. El primer y segundo intento fueron válidos y los atacantes pudieron demostrar una escalada local de privilegios explotando vulnerabilidades previamente desconocidas relacionadas con el desbordamiento del búfer y la doble memoria libre (cuyos componentes del problema aún no se han informado; los desarrolladores tienen 90 días para corregirlos). errores antes de revelar los datos). Se pagaron bonificaciones de 30 dólares por estas vulnerabilidades.
El tercer intento, realizado por otro equipo en la categoría de abuso de privilegios locales, solo tuvo un éxito parcial: el exploit funcionó y permitió obtener acceso root, pero el ataque no fue acreditado en su totalidad, ya que el error asociado con la vulnerabilidad ya era conocido. a los desarrolladores de Ubuntu y se estaba preparando una actualización con una solución.
También se demostró un ataque exitoso para los navegadores basados en el motor Chromium: Google Chrome y Microsoft Edge. Por crear un exploit que le permite ejecutar su código al abrir una página especialmente diseñada en Chrome y Edge (se creó un exploit universal para dos navegadores), se pagó un premio de 100 mil dólares. Está previsto que la solución se publique en las próximas horas, hasta el momento lo único que se sabe es que la vulnerabilidad está presente en el proceso responsable de procesar el contenido web (renderizador).
Otros ataques exitosos:
- $200 mil por hackear la aplicación Zoom (logró ejecutar su código enviando un mensaje a otro usuario, sin necesidad de acción alguna por parte del destinatario). El ataque utilizó tres vulnerabilidades en Zoom y una en el sistema operativo Windows.
- 200 dólares por piratear Microsoft Exchange (evitando la autenticación y escalando privilegios localmente en el servidor para obtener derechos de administrador). Otro equipo demostró otro exploit que funcionó con éxito, pero el segundo premio no fue pagado, ya que el primer equipo ya había cometido los mismos errores.
- 200 mil dólares por hackear Microsoft Teams (ejecutar código en el servidor).
- 100 dólares por explotar Apple Safari (desbordamiento de enteros en Safari y desbordamiento de búfer en el kernel de macOS para evitar la zona de pruebas y ejecutar código a nivel del kernel).
- 140 mil dólares por hackear Parallels Desktop (salir de la máquina virtual y ejecutar código en el sistema principal). El ataque se llevó a cabo mediante la explotación de tres vulnerabilidades diferentes: pérdida de memoria no inicializada, desbordamiento de pila y desbordamiento de enteros.
- Dos premios de 40 mil dólares cada uno por hackear Parallels Desktop (un error lógico y un desbordamiento de buffer que permitía ejecutar código en un SO externo mediante acciones dentro de una máquina virtual).
- Tres premios de 40 mil dólares por tres exploits exitosos de Windows 10 (desbordamiento de enteros, acceso a memoria ya liberada y una condición de carrera que permitió obtener privilegios del SISTEMA).
Se hicieron intentos, sin éxito, de hackear Oracle VirtualBox. Las nominaciones por hackear Firefox, VMware ESXi, el cliente Hyper-V, MS Office 365, MS SharePoint, MS RDP y Adobe Reader no fueron reclamadas. Tampoco hubo nadie dispuesto a demostrar el hackeo del sistema de información de un coche Tesla, a pesar del premio de 600 mil dólares más un coche Tesla Model 3.
Fuente: opennet.ru