De resultaten fan trije dagen fan 'e Pwn2Own 2022-kompetysje, jierliks hâlden as ûnderdiel fan' e CanSecWest-konferinsje, binne gearfette. Wurktechniken foar it eksploitearjen fan earder ûnbekende kwetsberens binne oantoand foar Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams en Firefox. In totaal fan 25 súksesfolle oanfallen waarden demonstrearre, en trije besykjen einige yn mislearring. De oanfallen brûkten de lêste stabile releases fan applikaasjes, browsers en bestjoeringssystemen mei alle beskikbere updates en standertkonfiguraasjes. It totale bedrach fan betelle fergoeding wie USD 1,155,000.
De konkurrinsje toande fiif suksesfolle besykjen om earder ûnbekende kwetsberens yn Ubuntu Desktop te eksploitearjen, ûndernommen troch ferskate teams fan dielnimmers. Ien priis fan $ 40 waard betelle foar it demonstrearjen fan lokale privileezje-eskalaasje yn Ubuntu Desktop troch it brûken fan twa bufferoverflow en dûbele fergese problemen. Fjouwer prizen, elk wurdich $40, waarden útrikt foar it demonstrearjen fan privileezje-eskalaasje troch eksploitaasje fan Use-After-Free kwetsberens.
De krekte komponinten fan it probleem binne noch net rapportearre; yn oerienstimming mei de betingsten fan 'e konkurrinsje sil detaillearre ynformaasje oer alle oantoand 0-dei kwetsberens pas nei 90 dagen wurde publisearre, dy't wurde jûn oan de fabrikanten om updates te meitsjen dy't de kwetsberens.
Oare suksesfolle oanfallen:
- 100 tûzen dollar foar de ûntwikkeling fan in eksploitaasje foar Firefox, wêrtroch, by it iepenjen fan in spesjaal ûntworpen side, sânbox-isolaasje te omgean en koade yn it systeem út te fieren.
- $ 40 om in eksploitaasje te demonstrearjen dy't in bufferoerstream brûkt yn Oracle Virtualbox om út in gast út te loggen.
- 50 tûzen dollar foar it operearjen fan Apple Safari (bufferoverflow).
- 450 tûzen dollar foar hacking fan Microsoft Teams (ferskillende teams demonstreare trije hacks mei in beleanning fan 150 tûzen foar elk).
- 80 tûzen dollar (twa prizen fan elk 40 tûzen) foar it eksploitearjen fan bufferoverflows en it eskalearjen fan de privileezjes yn Microsoft Windows 11.
- 80 tûzen dollar (twa prizen fan elk 40 tûzen) foar it eksploitearjen fan in brek yn 'e tagongsferifikaasjekoade om de privileezjes te fergrutsjen yn Microsoft Windows 11.
- $ 40K foar it eksploitearjen fan oerstream fan heule getal om privileezjes te eskalearjen yn Microsoft Windows 11.
- $ 40 tûzen foar it eksploitearjen fan in Use-After-Free kwetsberens yn Microsoft Windows 11.
- $ 75 tûzen foar it demonstrearjen fan in oanfal op it infotainmentsysteem fan in Telsa Model 3. De eksploitaasje brûkte bugs dy't liede ta bufferoerstreamingen en dûbele frijen, tegearre mei in earder bekende technyk foar it omgean fan sânbox-isolaasje.
Der waarden aparte besykjen makke, mar wiene net slagge, om Microsoft Windows 11 te hacken (6 suksesfolle hacks en 1 mislearre), Tesla (1 suksesfolle hack en 1 mislearre) en Microsoft Teams (3 suksesfolle hacks en 1 mislearre). D'r wiene dit jier gjin oanfragen om eksploaten yn Google Chrome te demonstrearjen.
Boarne: opennet.ru