Igal aastal CanSecWesti konverentsi raames peetava konkursi Pwn2Own 2022 kolme päeva tulemused on kokku võetud. Varem tundmatute haavatavuste ärakasutamise töövõtteid on demonstreeritud Ubuntu Desktopi, Virtualboxi, Safari, Windows 11, Microsoft Teamsi ja Firefoxi jaoks. Kokku demonstreeriti 25 edukat rünnakut ja kolm katset lõppesid ebaõnnestumisega. Rünnakutel kasutati rakenduste, brauserite ja operatsioonisüsteemide uusimaid stabiilseid väljalaseid koos kõigi saadaolevate värskenduste ja vaikekonfiguratsioonidega. Makstud töötasu kogusumma oli 1,155,000 XNUMX XNUMX USD.
Võistlus demonstreeris viit edukat katset Ubuntu töölaua senitundmatute turvaaukude ärakasutamiseks, mille viisid läbi erinevad osalejate meeskonnad. Üks 40 40 dollari suurune auhind maksti Ubuntu Desktopis kohalike privileegide eskalatsiooni demonstreerimise eest, kasutades ära kaks puhvri ületäitumist ja topelttasuta probleemi. Neli auhinda, millest igaüks on väärt XNUMX XNUMX dollarit, anti välja privileegide eskaleerumise demonstreerimise eest, kasutades kasutus-pärast-tasuta haavatavusi.
Probleemi täpsetest komponentidest ei ole veel teatatud, vastavalt konkursitingimustele avaldatakse alles 0 päeva pärast üksikasjalik teave kõigi demonstreeritud 90-päevaste turvaaukude kohta, mis antakse tootjatele, et valmistada ette uuendused, mis kõrvaldavad haavatavused.
Muud edukad rünnakud:
- 100 tuhat dollarit Firefoxi ärakasutamise arendamiseks, mis võimaldas spetsiaalselt loodud lehe avamisel liivakasti isolatsioonist mööda minna ja süsteemis koodi käivitada.
- 40 XNUMX dollarit, et demonstreerida ärakasutamist, mis kasutab külalisest väljalogimiseks Oracle Virtualboxi puhvri ületäitumist.
- 50 tuhat dollarit Apple Safari käitamiseks (puhvri ületäitumine).
- 450 tuhat dollarit Microsoft Teamsi häkkimise eest (erinevad meeskonnad demonstreerisid kolme häkkimist, igaühe eest tasuti 150 tuhat).
- 80 tuhat dollarit (kaks auhinda, kumbki 40 tuhat) puhvri ületäitumise ärakasutamise ja oma õiguste suurendamise eest Microsoft Windows 11-s.
- 80 tuhat dollarit (kaks auhinda, kumbki 40 tuhat) juurdepääsukinnituskoodi vea ärakasutamise eest, et suurendada oma privileege operatsioonisüsteemis Microsoft Windows 11.
- 40 11 dollarit täisarvude ülevoolu ärakasutamise eest Microsoft Windows XNUMX õiguste suurendamiseks.
- 40 tuhat dollarit Microsoft Windows 11 kasutamise pärast tasuta haavatavuse ärakasutamise eest.
- 75 tuhat dollarit Telsa Model 3 teabe- ja meelelahutussüsteemi vastu suunatud rünnaku demonstreerimise eest. Ärakasutamises kasutati vigu, mis viisid puhvri ületäitumiseni ja topeltvabastumiseni, ning varem tuntud tehnikat liivakasti isolatsioonist möödahiilimiseks.
Eraldi üritati häkkida Microsoft Windows 11 (6 edukat ja 1 ebaõnnestunud häkkimist), Teslat (1 edukas häkkimine ja 1 ebaõnnestunud) ja Microsoft Teamsi (3 edukat häkkimist ja 1 ebaõnnestunud), kuid need ei õnnestunud. Sel aastal ei esitatud ühtegi taotlust Google Chrome'i ärakasutamise demonstreerimiseks.
Allikas: opennet.ru