CanSecWest konferentziaren barruan urtero ospatzen den Pwn2Own 2022 lehiaketako hiru egunetako emaitzak laburbildu dira. Lehen ezezagunak diren ahuleziak ustiatzeko lan-teknikak frogatu dira Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams eta Firefox-entzat. Guztira 25 eraso arrakastatsu frogatu ziren, eta hiru saiakera porrotarekin amaitu ziren. Erasoek aplikazioen, arakatzaileen eta sistema eragileen azken bertsio egonkorrak erabili zituzten eskuragarri dauden eguneratze guztiekin eta konfigurazio lehenetsiekin. Ordaindutako ordainsariaren guztizko zenbatekoa 1,155,000 USD izan zen.
Lehiaketak Ubuntu mahaigainean ordura arte ezezagunak diren ahuleziak ustiatzeko bost saiakera arrakastatsu erakutsi zituen, parte-hartzaile talde ezberdinek egindakoak. 40 $ sari bat ordaindu zen Ubuntu mahaigainean tokiko pribilegioen igoera erakusteagatik, bi buffer gainezkatzea eta doako arazo bikoitza baliatuz. Lau sari eman ziren, bakoitza 40 dolarrekoa, Erabilera-Doako ahultasunen bidez pribilegioen igoera frogatzeagatik.
Oraindik ez dira arazoaren osagai zehatzak jakinarazi; lehiaketaren baldintzen arabera, frogatutako 0 eguneko ahultasun guztiei buruzko informazio zehatza 90 egun igaro ondoren argitaratuko da, fabrikatzaileei ematen zaiena desagerrarazten duten eguneraketak presta ditzaten. ahultasunak.
Beste eraso arrakastatsu batzuk:
- 100 mila dolar Firefox-erako exploit bat garatzeko, eta horri esker, bereziki diseinatutako orri bat irekitzean, sandbox isolamendua saihestu eta kodea exekutatu sisteman.
- 40 $ Oracle Virtualbox-en buffer gainezkatzea erabiltzen duen ustiapen bat erakusteko, gonbidatu batetik irteteko.
- 50 mila $ Apple Safari funtzionatzeko (buffer gainezka).
- 450 mila dolar Microsoft Teams hackeatzeko (talde ezberdinek hiru hack frogatu zituzten bakoitzak 150 mila sari batekin).
- 80 mila dolar (40 milako bi sari bakoitza) buffer gainezka egiteagatik eta Microsoft Windows 11-n norberaren pribilegioak areagotzeagatik.
- 80 mila dolar (40 milako bi sari bakoitza) sarbidea egiaztatzeko kodean akats bat ustiatzeagatik Microsoft Windows 11-en pribilegioak handitzeko.
- 40 $ osoko gainezkatzea ustiatzeko Microsoft Windows 11-en pribilegioak areagotzeko.
- 40 mila $ Microsoft Windows 11-n Erabilera-ondoren ahultasun bat ustiatzeagatik.
- 75 $ Telsa Model 3 baten infotainment sistemaren aurkako erasoa erakusteagatik. Explotazioak buffer-a gainezkatzea eta askapen bikoitzak eragiten zituzten akatsak erabili zituen, sandbox isolamendua saihesteko aurretik ezaguna den teknika batekin batera.
Saiakera bereiziak egin ziren, baina ez zuten arrakastarik izan, Microsoft Windows 11 (6 hack arrakastatsuak eta 1 arrakastatsua), Tesla (1 hack arrakastatsua eta 1 arrakastatsua) eta Microsoft Teams (3 hack arrakastatsuak eta 1 arrakastatsua) pirateatzeko. Aurten ez zen Google Chrome-n ustiapenak erakusteko eskaerarik izan.
Iturria: opennet.ru