Les résultats des trois jours du concours Pwn2Own 2021, organisé chaque année dans le cadre de la conférence CanSecWest, ont été résumés. Comme l’année dernière, le concours s’est déroulé virtuellement et les attaques ont été démontrées en ligne. Parmi les 23 cibles ciblées, des techniques de travail permettant d'exploiter des vulnérabilités jusqu'alors inconnues ont été démontrées pour Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams et Zoom. Dans tous les cas, les dernières versions des programmes ont été testées, y compris toutes les mises à jour disponibles. Le montant total des paiements s'élevait à un million deux cent mille dollars américains (le montant total des prix était d'un million et demi de dollars).
Lors du concours, trois tentatives ont été faites pour exploiter les vulnérabilités d'Ubuntu Desktop. Les première et deuxième tentatives ont été valides et les attaquants ont pu démontrer une élévation locale des privilèges en exploitant des vulnérabilités jusqu'alors inconnues liées au débordement de mémoire tampon et à la double mémoire libre (quels composants du problème n'ont pas encore été signalés ; les développeurs ont 90 jours pour corriger). erreurs avant de divulguer les données). Des primes de 30 XNUMX $ ont été versées pour ces vulnérabilités.
La troisième tentative, réalisée par une autre équipe dans la catégorie des abus de privilèges locaux, n'a été que partiellement réussie - l'exploit a fonctionné et a permis d'obtenir un accès root, mais l'attaque n'a pas été entièrement créditée, puisque l'erreur associée à la vulnérabilité était déjà connue. aux développeurs Ubuntu et une mise à jour avec un correctif était en cours de préparation.
Une attaque réussie a également été démontrée contre les navigateurs basés sur le moteur Chromium - Google Chrome et Microsoft Edge. Pour avoir créé un exploit qui vous permet d'exécuter votre code lors de l'ouverture d'une page spécialement conçue dans Chrome et Edge (un exploit universel a été créé pour deux navigateurs), un prix de 100 XNUMX dollars a été payé. Le correctif devrait être publié dans les prochaines heures, pour l'instant tout ce que l'on sait, c'est que la vulnérabilité est présente dans le processus responsable du traitement du contenu Web (rendu).
Autres attaques réussies :
- 200 XNUMX $ pour piratage de l'application Zoom (réussi à exécuter son code en envoyant un message à un autre utilisateur, sans qu'aucune action de la part du destinataire ne soit nécessaire). L'attaque a utilisé trois vulnérabilités dans Zoom et une dans le système d'exploitation Windows.
- 200 XNUMX $ pour piratage de Microsoft Exchange (contournement de l'authentification et augmentation locale des privilèges sur le serveur pour obtenir les droits d'administrateur). Un autre exploit qui a fonctionné avec succès a été démontré à une autre équipe, mais le deuxième prix n'a pas été payé, car les mêmes erreurs avaient déjà été utilisées par la première équipe.
- 200 XNUMX $ pour piratage de Microsoft Teams (exécution de code sur le serveur).
- 100 XNUMX $ pour l'exploitation d'Apple Safari (débordement d'entier dans Safari et débordement de tampon dans le noyau macOS pour contourner le bac à sable et exécuter du code au niveau du noyau).
- 140 XNUMX $ pour le piratage de Parallels Desktop (sortie de la machine virtuelle et exécution de code sur le système principal). L'attaque a été menée grâce à l'exploitation de trois vulnérabilités différentes : fuite de mémoire non initialisée, débordement de pile et débordement d'entier.
- Deux récompenses de 40 XNUMX dollars chacune pour piratage de Parallels Desktop (une erreur logique et un débordement de tampon qui ont permis d'exécuter du code dans un système d'exploitation externe via des actions à l'intérieur d'une machine virtuelle).
- Trois récompenses de 40 mille dollars pour trois exploits réussis de Windows 10 (débordement d'entier, accès à la mémoire déjà libérée et condition de concurrence qui a permis d'obtenir les privilèges SYSTEM).
Des tentatives ont été faites, mais sans succès, pour pirater Oracle VirtualBox. Les nominations pour le piratage de Firefox, VMware ESXi, le client Hyper-V, MS Office 365, MS SharePoint, MS RDP et Adobe Reader sont restées non réclamées. Personne n'était également disposé à démontrer le piratage du système d'information d'une voiture Tesla, malgré le prix de 600 3 dollars plus une voiture Tesla Model XNUMX.
Source: opennet.ru