Kaksipäiväisen Pwn2Own 2024 -kilpailun tulokset on julkistettu. Kilpailu järjestetään vuosittain osana CanSecWest-konferenssia Vancouverissa. Kilpailussa kehitettiin työskentelytekniikoita aiemmin tuntemattomien haavoittuvuuksien hyödyntämiseksi. Ubuntu työpöydälle, Windows 11, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge ja Tesla-auto. Yhteensä 23 onnistunutta hyökkäystä osoitettiin hyödyntäen 29 aiemmin tuntematonta haavoittuvuutta.
Hyökkäyksissä käytettiin sovellusten, selaimien ja käyttöjärjestelmien uusimpia vakaita julkaisuja kaikilla saatavilla olevilla päivityksillä ja oletuskokoonpanossa. Maksetun palkkion kokonaismäärä oli 1,132,500 3 2 USD. Teslan hakkeroinnista myönnettiin ylimääräinen Tesla Model 3,494,750. Kolmesta viimeisestä Pwn202Own-kilpailusta maksettujen palkintojen määrä oli XNUMX XNUMX XNUMX dollaria. Eniten pisteitä kerännyt joukkue sai XNUMX XNUMX dollaria.
Suoritetut hyökkäykset:
- Neljä onnistunutta hyökkäystä Ubuntu Desktop, joka mahdollisti etuoikeuttamattomalle käyttäjälle pääkäyttäjän oikeudet (yksi 20 000 dollarin ja 10 000 dollarin palkkio sekä kaksi 5 000 dollarin palkkiota). Haavoittuvuudet johtuivat kilpailutilanteesta ja puskurin ylivuodosta.
- Hyökkäys Firefoxia vastaan, joka mahdollisti hiekkalaatikon eristyksen ohituksen ja koodin suorittamisen järjestelmässä avattaessa erityisesti suunniteltu sivu (palkinto 100 tuhatta dollaria). Haavoittuvuuden aiheuttaa virhe, joka mahdollistaa tietojen lukemisen ja kirjoittamisen alueelle, joka on JavaScript-objektille varatun puskurin rajojen ulkopuolella, sekä mahdollisuudesta korvata tapahtumakäsittelijä etuoikeutetulla JavaScript-objektilla. Mozillan kehittäjät julkaisivat nopeasti Firefox 124.0.1 -päivityksen, joka eliminoi havaitut ongelmat.
- Neljä hyökkäystä Chromeen, jotka mahdollistivat koodin suorittamisen järjestelmässä avattaessa erityisesti suunniteltu sivu (yksi palkinto 85 ja 60 tuhatta dollaria kumpikin, kaksi palkintoa 42.5 tuhatta). Haavoittuvuudet johtuvat muistin käytöstä vapaiden, puskurin ulkopuolisten lukujen jälkeen ja virheellisestä syötteen tarkistuksesta. Nämä kolme hyväksikäyttöä ovat universaaleja ja toimivat paitsi Chromessa myös Edgessä.
- Hyökkäys Apple Safaria vastaan, joka salli koodin suorittamisen järjestelmässä avattaessa erityisesti suunniteltu sivu (palkinto 60 XNUMX dollaria). Haavoittuvuuden aiheuttaa kokonaislukujen ylivuoto.
- Neljä Oracle VirtualBoxin hakkerointia, joiden avulla voit poistua vierasjärjestelmästä ja suorittaa koodin isäntäpuolella (yksi palkinto 90 tuhatta dollaria ja kolme palkintoa 20 tuhatta dollaria). Hyökkäykset suoritettiin hyödyntämällä puskurin ylivuotojen, kilpailuolosuhteiden ja vapaan muistin käytön aiheuttamia haavoittuvuuksia.
- Hyökkäys Dockeria vastaan, jonka avulla voit paeta eristetystä kontista (palkinto 60 tuhatta dollaria). Haavoittuvuus johtuu muistin käytöstä vapauttamisen jälkeen.
- Kaksi hyökkäystä VMWare Workstationille, jotka mahdollistivat kirjautumisen ulos vierasjärjestelmästä ja koodin suorittamisen isäntäpuolella. Hyökkäyksissä käytettiin muistin käyttöä vapaan jälkeen, puskurin ylivuotoa ja alustamatonta muuttujaa (30 130 dollarin ja XNUMX XNUMX dollarin palkkiot).
- Viisi hyökkäystä Microsoftia vastaan Windows Yksitoista haavoittuvuutta hyödynnettiin heidän oikeuksiensa laajentamiseksi (kolme 15 000 dollarin palkkiota ja yksi 30 000 ja 7 500 dollarin palkkio). Haavoittuvuudet johtuivat kilpailutilanteista, kokonaislukujen ylivuodoista, virheellisestä viitelaskennasta ja virheellisestä syötteen validoinnista.
- Koodin suorittaminen käsiteltäessä sisältöä Adobe Readerissa (50 tuhannen dollarin palkinto). Hyökkäys hyödynsi haavoittuvuutta, joka mahdollisti API-rajoitusten ohittamisen, ja virhettä, joka mahdollisti komentojen korvaamisen.
- Hyökkäys Tesla-auton tietojärjestelmään, joka toteutettiin manipuloimalla CAN BUS -väylää ja mahdollistamalla kokonaislukujen ylivuodon ja pääsyn ECU:hun (elektroninen ohjausyksikkö). Palkinto oli 200 tuhatta dollaria ja Tesla Model 3 -auto.
- Microsoft SharePointin ja VMware ESXin hakkerointiyritykset epäonnistuivat.
Ongelman tarkkoja komponentteja ei ole vielä raportoitu, kilpailun ehtojen mukaisesti yksityiskohtaiset tiedot kaikista osoitetuista 0 päivän haavoittuvuuksista julkaistaan vasta 90 päivän kuluttua, jotka annetaan valmistajille valmistellakseen päivityksiä, jotka poistavat haavoittuvuuksia.
Lähde: opennet.ru
