Подведены итоги трёх дней соревнований Pwn2Own 2021, ежегодно проводимых в рамках конференции CanSecWest. Как и в прошлом году соревнования проводились виртуально и атаки демонстрировались online. Из 23 намеченных целей рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu دسکتاپ، Windows 10, Сhrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams и Zoom. Во всех случаях тестировались самые свежие версии программ, включающие все доступные обновления. Суммарный размер выплат составил один миллион двести тысяч долларов США (общий призовой фонд насчитывал полтора миллиона долларов).
На соревнованиях были предприняты три попытки эксплуатации уязвимостей в Ubuntu Desktop. Первая и вторая попытки были засчитаны и атакующим удалось продемонстрировать локальное повышение привилегий через эксплуатацию ранее не известных уязвимостей, связанных с переполнением буфера и двойном освобождении памяти (в каких именно компонентах проблемы пока не сообщается, до раскрытия данных разработчикам даётся 90 дней на исправление ошибок). За данные уязвимости выплачены премии в 30 тыс. долларов.
Третья попытка, предпринятая другой командой в категории локальное превышение привилегий, удалась лишь частично — эксплоит сработал и дал возможность получить доступ root, но атака была зачтена не полностью, так как связанная с уязвимостью ошибка уже была известна разработчикам Ubuntu и обновление с исправлением находилось на стадии подготовки.
یک حمله موفقیتآمیز نیز برای مرورگرهای مبتنی بر کرومیوم - گوگل کروم و مایکروسافت اج - نشان داده شد. جایزهای ۱۰۰۰۰۰ دلاری برای ایجاد یک کد مخرب که هنگام باز شدن یک صفحه خاص در کروم و اج (یک کد مخرب برای هر دو مرورگر) اجرا میشد، پرداخت شد. قرار است در ساعات آینده یک وصله امنیتی منتشر شود. تاکنون، تنها چیزی که مشخص است این است که این آسیبپذیری در فرآیندی که مسئول پردازش محتوای وب (رندر) است، قرار دارد.
سایر حملات موفق:
- 200 тысяч долларов за взлом приложения Zoom (удалось выполнить свой код, отправив сообщение другому пользователю, без необходимости совершения со стороны получателя каких-либо действий). Для атаки использовались три уязвимости в Zoom и одна в операционной системе Windows.
- ۲۰۰۰۰۰ دلار برای هک مایکروسافت اکسچنج (دور زدن احراز هویت و افزایش امتیاز محلی) سرور (برای به دست آوردن حقوق مدیر). تیم دیگری یک بهرهبرداری موفق دیگر را نشان داد، اما جایزه دوم پرداخت نشد زیرا همان اشکالات قبلاً توسط تیم اول مورد بهرهبرداری قرار گرفته بودند.
- ۲۰۰ هزار دلار برای هک کردن مایکروسافت تیمز (اجرای کد روی ... سرور).
- 100 тысяч долларов за эксплуатацию Apple Safari (целочисленное переполнение в Safari и переполнение буфера в ядре macOS для обхода sandbox и выполнении кода на уровне ядра).
- ۱۴۰،۰۰۰ دلار برای هک کردن Parallels Desktop (فرار از ماشین مجازی و اجرای کد روی سیستم میزبان). این حمله از سه آسیبپذیری مختلف سوءاستفاده کرده بود: نشت حافظه مقداردهی اولیه نشده، سرریز پشته و سرریز عدد صحیح.
- دو جایزه ۴۰،۰۰۰ دلاری برای هکهای Parallels Desktop (یک خطای منطقی و سرریز بافر که امکان اجرای کد در یک سیستم عامل شخص ثالث را از طریق اقدامات درون یک ماشین مجازی فراهم میکرد).
- Три премии по 40 тысяч долларов за три успешных эксплуатации Windows 10 (целочисленное переполнение, обращение к уже освобождённой памяти и состояние гонки, позволившие добиться получения привилегий SYSTEM).
تلاشهایی برای هک کردن Oracle VirtualBox انجام شد، اما ناموفق بودند. نامزدهای هک فایرفاکس، VMware ESXi، Hyper-V client، MS Office 365، MS SharePoint، MS RDP و Adobe Reader همچنان بدون مدعی باقی ماندند. با وجود جایزه ۶۰۰۰۰۰ دلاری و یک تسلا مدل ۳، هیچ کس داوطلب نشد تا هک کردن سیستم اطلاعاتی تسلا را نشان دهد.
منبع: opennet.ru
