Tá achoimre déanta ar thorthaí trí lá de chomórtas Pwn2Own 2021, a reáchtáiltear go bliantúil mar chuid de chomhdháil CanSecWest. Cosúil leis an mbliain seo caite, bhí an comórtas beagnach ar siúl agus léiríodh na hionsaithe ar líne. As na 23 sprioc spriocdhírithe, léiríodh teicnící oibre chun leas a bhaint as leochaileachtaí nach raibh aithne orthu roimhe seo le haghaidh Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams agus Zoom. I ngach cás, rinneadh tástáil ar na leaganacha is déanaí de na cláir, lena n-áirítear gach nuashonrú a bhí ar fáil. Ba é méid iomlán na n-íocaíochtaí ná milliún dhá chéad míle dollar SAM (b'ionann an duaischiste iomlán agus milliún go leith dollar).
Ag an gcomórtas, rinneadh trí iarracht chun leas a bhaint as leochaileachtaí i Ubuntu Desktop. Bhí an chéad agus an dara iarracht bailí agus bhí na hionsaitheoirí in ann formhéadú áitiúil na bpribhléidí a léiriú trí leas a bhaint as leochaileachtaí nach raibh aithne orthu roimhe seo a bhaineann le ró-shreabhadh maolánach agus cuimhne dúbailte saor in aisce (nach bhfuil tuairisc ar chomhpháirteanna na faidhbe fós; tugtar 90 lá d'fhorbróirí chun iad a cheartú earráidí roimh sonraí a nochtadh). Íocadh bónais de $30 as na leochaileachtaí seo.
Níor éirigh leis an tríú hiarracht, a rinne foireann eile sa chatagóir mí-úsáide pribhléide áitiúil, ach go páirteach - d'oibrigh an leas agus d'éirigh leis rochtain fhréamh a fháil, ach níor tugadh creidiúint iomlán don ionsaí, ós rud é go raibh an earráid a bhaineann leis an leochaileacht ar eolas cheana féin. d'fhorbróirí Ubuntu agus bhí nuashonrú le réiteach á ullmhú.
Léiríodh ionsaí rathúil freisin do bhrabhsálaithe bunaithe ar an inneall Cróimiam - Google Chrome agus Microsoft Edge. Chun dúshaothrú a chruthú a ligeann duit do chód a fhorghníomhú agus leathanach saindeartha á oscailt agat in Chrome agus Edge (cruthaíodh leas uilíoch amháin le haghaidh dhá bhrabhsálaí), íocadh duais de 100 míle dollar. Tá sé beartaithe an socrú a fhoilsiú sna huaireanta amach romhainn, go dtí seo is eol go léir go bhfuil an leochaileacht i láthair sa phróiseas atá freagrach as ábhar gréasáin a phróiseáil (rindreoir).
Ionsaithe rathúla eile:
- $200 míle chun an feidhmchlár Zoom a hackáil (d’éirigh leis a chód a fhorghníomhú trí theachtaireacht a sheoladh chuig úsáideoir eile, gan aon ghá le gníomh ar bith ón bhfaighteoir). Bhain an ionsaí úsáid as trí leochaileacht i Zoom agus ceann amháin i gcóras oibriúcháin Windows.
- $200 le haghaidh hack Microsoft Exchange (ag seachaint fíordheimhnithe agus pribhléidí ar an bhfreastalaí a mhéadú go háitiúil chun cearta riarthóra a fháil). Léiríodh dúshaothrú rathúil oibre eile d’fhoireann eile, ach níor íocadh an dara duais, toisc go raibh na hearráidí céanna in úsáid ag an gcéad fhoireann cheana féin.
- $200 míle le haghaidh hack Microsoft Teams (cód a fhorghníomhú ar an bhfreastalaí).
- $100 míle chun leas a bhaint as Apple Safari (thar maoil slánuimhir i Safari agus maolán thar maoil san eithne macOS chun bosca gainimh a sheachbhóthar agus cód a fhorghníomhú ag leibhéal na heithne).
- $140 le haghaidh hack Parallels Desktop (ag fágáil an mheaisín fíorúil agus cód a fhorghníomhú ar an bpríomhchóras). Rinneadh an t-ionsaí trí shaothrú trí leochaileacht dhifriúla - sceitheadh cuimhne gan bhunús, ró-shreabhadh cruachta agus ró-shreabhadh slánuimhir.
- Dhá dhámhachtain 40 míle dollar an ceann le haghaidh hack Parallels Desktop (earráid loighciúil agus ró-shreabhadh maolánach a cheadaigh cód a fhorghníomhú in OS seachtrach trí ghníomhartha taobh istigh de mheaisín fíorúil).
- Trí dhámhachtain 40 míle dollar ar thrí thairbhe rathúla de Windows 10 (thar maoil slánuimhir, rochtain ar chuimhne saortha cheana féin agus riocht cine a cheadaigh pribhléidí CÓRAS a fháil).
Rinneadh iarrachtaí, ach níor éirigh leo, Oracle VirtualBox a hack. Níor éilíodh ainmniúcháin le haghaidh hacking Firefox, VMware ESXi, cliant Hyper-V, MS Office 365, MS SharePoint, MS RDP agus Adobe Reader. Ní raibh aon duine sásta freisin hack chóras faisnéise carr Tesla a hack, in ainneoin an duais de 600 míle dollar móide carr Tesla Model 3.
Foinse: oscailtenet.ru