Se han resumido los resultados de tres días del concurso Pwn2Own 2022, que se celebra anualmente en el marco de la conferencia CanSecWest. Se han demostrado técnicas de trabajo para explotar vulnerabilidades previamente desconocidas para Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams y Firefox. En total se demostraron 25 ataques exitosos y tres intentos fracasaron. Los ataques utilizaron las últimas versiones estables de aplicaciones, navegadores y sistemas operativos con todas las actualizaciones disponibles y configuraciones predeterminadas. El monto total de la remuneración pagada fue de USD 1,155,000.
La competencia demostró cinco intentos exitosos de explotar vulnerabilidades previamente desconocidas en Ubuntu Desktop, realizados por diferentes equipos de participantes. Se pagó un premio de 40 dólares por demostrar la escalada de privilegios locales en Ubuntu Desktop mediante la explotación de dos problemas de desbordamiento de búfer y doble liberación. Se otorgaron cuatro premios, cada uno valorado en 40 XNUMX dólares, por demostrar la escalada de privilegios mediante la explotación de vulnerabilidades Use-After-Free.
Los componentes exactos del problema aún no se han informado; de acuerdo con los términos del concurso, la información detallada sobre todas las vulnerabilidades de día 0 demostradas se publicará solo después de 90 días, que se les da a los fabricantes para que preparen actualizaciones que eliminen el problema. vulnerabilidades.
Otros ataques exitosos:
- 100 mil dólares para el desarrollo de un exploit para Firefox, que permitió, al abrir una página especialmente diseñada, evitar el aislamiento del sandbox y ejecutar código en el sistema.
- 40 dólares para demostrar un exploit que utiliza un desbordamiento de búfer en Oracle Virtualbox para cerrar sesión en un invitado.
- 50 mil dólares por operar Apple Safari (desbordamiento de búfer).
- 450 mil dólares por hackear Microsoft Teams (diferentes equipos demostraron tres hacks con una recompensa de 150 mil por cada uno).
- 80 mil dólares (dos premios de 40 mil cada uno) por explotar desbordamientos de búfer y escalar privilegios en Microsoft Windows 11.
- 80 mil dólares (dos premios de 40 mil cada uno) por explotar un error en el código de verificación de acceso para aumentar los privilegios en Microsoft Windows 11.
- 40 dólares por explotar el desbordamiento de enteros para escalar privilegios en Microsoft Windows 11.
- 40 mil dólares por explotar una vulnerabilidad Use-After-Free en Microsoft Windows 11.
- 75 dólares por demostrar un ataque al sistema de información y entretenimiento de un Telsa Model 3. El exploit utilizó errores que provocaban desbordamientos de búfer y dobles liberaciones, junto con una técnica previamente conocida para evitar el aislamiento de la zona de pruebas.
Se hicieron intentos separados, pero no tuvieron éxito, para hackear Microsoft Windows 11 (6 hacks exitosos y 1 fallido), Tesla (1 hackeo exitoso y 1 fallido) y Microsoft Teams (3 hacks exitosos y 1 fallido). Este año no hubo solicitudes para demostrar exploits en Google Chrome.
Fuente: opennet.ru