Igal aastal CanSecWesti konverentsi raames peetava konkursi Pwn2Own 2021 kolme päeva tulemused on kokku võetud. Sarnaselt eelmisele aastale peeti võistlus virtuaalselt ja rünnakuid demonstreeriti veebis. 23 sihitud sihtmärgist demonstreeriti töövõtteid senitundmatute haavatavuste ärakasutamiseks Ubuntu Desktopi, Windows 10, Chrome'i, Safari, Parallels Desktopi, Microsoft Exchange'i, Microsoft Teamsi ja Zoomi jaoks. Kõigil juhtudel testiti programmide uusimaid versioone, sealhulgas kõiki saadaolevaid värskendusi. Maksete kogusumma oli miljon kakssada tuhat USA dollarit (auhinnafond kokku poolteist miljonit dollarit).
Võistlusel prooviti kolm korda ära kasutada Ubuntu Desktopi turvaauke. Esimene ja teine katse olid kehtivad ning ründajad suutsid demonstreerida õiguste kohalikku eskaleerumist, kasutades ära varem tundmatuid turvaauke, mis on seotud puhvri ülevoolu ja topeltvaba mäluga (millest probleemi komponentidest pole veel teatatud; arendajatele antakse 90 päeva aega, et parandada vead enne andmete avaldamist). Nende haavatavuste eest maksti boonuseid 30 XNUMX dollarit.
Kolmas katse, mille tegi teine kohalike privileegide kuritarvitamise kategooriasse kuuluv meeskond, õnnestus vaid osaliselt - ärakasutamine töötas ja võimaldas hankida juurjuurdepääsu, kuid rünnakut ei arvestatud täielikult, kuna haavatavusega seotud viga oli juba teada. Ubuntu arendajatele ja parandusega värskendus oli ettevalmistamisel.
Edukat rünnakut demonstreeriti ka Chromiumi mootoril põhinevate brauserite – Google Chrome ja Microsoft Edge – puhul. Exploiti loomise eest, mis võimaldab teil Chrome'is ja Edge'is spetsiaalselt kujundatud lehe avamisel koodi käivitada (kahe brauseri jaoks loodi üks universaalne exploit), maksti auhinda 100 tuhat dollarit. Parandus on plaanis avaldada lähitundidel, seni on teada vaid see, et haavatavus on veebisisu töötlemise (renderdaja) eest vastutavas protsessis.
Muud edukad rünnakud:
- 200 XNUMX dollarit rakenduse Zoom häkkimise eest (tal õnnestus oma koodi käivitada, saates sõnumi teisele kasutajale, ilma et adressaat oleks midagi ette võtnud). Rünnakus kasutati kolme Zoomi ja ühte Windowsi operatsioonisüsteemi haavatavust.
- 200 tuhat dollarit Microsoft Exchange'i häkkimise eest (atentimisest möödahiilimine ja serveri lokaalõiguste suurendamine administraatoriõiguste saamiseks). Järjekordset edukalt toimivat vägitükki demonstreeriti teisele meeskonnale, kuid teist auhinda ei makstud, kuna samu vigu kasutas juba esimene meeskond.
- 200 tuhat dollarit Microsoft Teamsi häkkimise eest (koodi käivitamine serveris).
- 100 tuhat dollarit Apple Safari ärakasutamise eest (täisarvude ületäitumine Safaris ja puhvri ületäitumine macOS-i tuumas liivakastist möödahiilimiseks ja koodi käivitamiseks tuuma tasemel).
- 140 tuhat dollarit Parallels Desktopi häkkimise eest (virtuaalmasinast väljumine ja põhisüsteemis koodi käivitamine). Rünnak viidi läbi kolme erineva haavatavuse ärakasutamise kaudu – initsialiseerimata mäluleke, pinu ületäitumine ja täisarvu ületäitumine.
- Kaks auhinda, kumbki 40 tuhat dollarit, Parallels Desktopi häkkimise eest (loogikaviga ja puhvri ületäitumine, mis võimaldas koodi käivitada välises OS-is virtuaalmasina sees olevate toimingute kaudu).
- Kolm 40 tuhande dollari suurust auhinda Windows 10 kolme eduka ärakasutamise eest (täisarvude ületäitumine, juurdepääs juba vabastatud mälule ja võistlustingimus, mis võimaldas saada SÜSTEEMI privileege).
Tehti katseid Oracle VirtualBoxi häkkida, kuid need ei õnnestunud. Firefoxi, VMware ESXi, Hyper-V kliendi, MS Office 365, MS SharePointi, MS RDP ja Adobe Readeri häkkimise nominatsioonid jäid esitamata. Samuti polnud keegi valmis demonstreerima Tesla auto infosüsteemi häkkimist, vaatamata auhinnale 600 tuhat dollarit pluss Tesla Model 3 auto.
Allikas: opennet.ru