Tá torthaí chomórtas trí lá Pwn2Own 2021, a reáchtáiltear gach bliain mar chuid de chomhdháil CanSecWest, fógartha. Mar a tharla an bhliain roimhe sin, tionóladh an comórtas go fíorúil, agus taispeánadh ionsaithe ar líne. Taispeánadh teicnící oibre chun leas a bhaint as leochaileachtaí nach raibh ar eolas roimhe seo i gcás 23 sprioc ainmnithe. Ubuntu Deasc, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams, agus Zoom. I ngach cás, rinneadh tástáil ar na leaganacha is déanaí de na cláir, lena n-áirítear na nuashonruithe uile atá ar fáil. B'ionann an íocaíocht iomlán agus milliún dhá chéad míle dollar SAM (b'ionann an ciste duaise iomlán agus milliún go leith dollar).
Rinneadh trí iarracht leas a bhaint as leochaileachtaí le linn an chomórtais. Ubuntu Deasc. D’éirigh leis an gcéad iarracht agus leis an dara hiarracht, agus léirigh na hionsaitheoirí méadú pribhléide áitiúil trí leas a bhaint as leochaileachtaí nach raibh ar eolas roimhe seo a bhain le róshreafa maoláin agus saoráidí dúbailte (níl na comhpháirteanna sonracha a raibh tionchar ag na fadhbanna orthu nochta go fóill; tá 90 lá ag forbróirí chun na fabhtanna a shocrú sula nochtfar na sonraí). Íocadh duaiseanna $30 as na leochaileachtaí seo.
Níor éirigh ach go páirteach le tríú iarracht ag foireann eile sa chatagóir méadaithe pribhléide áitiúil—d’oibrigh an leasú agus cheadaigh sé rochtain fréimhe, ach níor tugadh creidiúint iomlán don ionsaí toisc go raibh an fabht a bhain leis an leochaileacht ar eolas ag na forbróirí cheana féin. Ubuntu agus bhí nuashonrú le ceartú á ullmhú.
Léiríodh ionsaí rathúil freisin do bhrabhsálaithe bunaithe ar an inneall Cróimiam - Google Chrome agus Microsoft Edge. Chun dúshaothrú a chruthú a ligeann duit do chód a fhorghníomhú agus leathanach saindeartha á oscailt agat in Chrome agus Edge (cruthaíodh leas uilíoch amháin le haghaidh dhá bhrabhsálaí), íocadh duais de 100 míle dollar. Tá sé beartaithe an socrú a fhoilsiú sna huaireanta amach romhainn, go dtí seo is eol go léir go bhfuil an leochaileacht i láthair sa phróiseas atá freagrach as ábhar gréasáin a phróiseáil (rindreoir).
Ionsaithe rathúla eile:
- $200 as an aip Zoom a hackáil (d’éirigh leis an ionsaitheoir a gcód a fhorghníomhú trí theachtaireacht a sheoladh chuig úsáideoir eile, gan aon ghníomh a dhéanamh ar an bhfaighteoir). Bhain an t-ionsaí leas as trí leochaileacht i Zoom agus ceann amháin sa chóras oibriúcháin. Windows.
- $200 as Microsoft Exchange a hackáil (seachaint fíordheimhnithe agus ardú pribhléide áitiúil ar freastalaí (chun cearta riarthóra a fháil). Léirigh foireann eile leas a bhaint as saothrú eile a d’oibrigh go rathúil, ach níor íocadh an dara duais mar gur úsáideadh na fabhtanna céanna cheana féin ag an gcéad fhoireann.
- $200 as Microsoft Teams a hackáil (cód a fhorghníomhú ar freastalaí).
- $100 as Apple Safari a shaothrú (róshreabhadh slánuimhreach i Safari agus róshreabhadh maoláin eithne) macOS chun an bosca gainimh a sheachbhóthar agus cód a fhorghníomhú ag leibhéal an eithne).
- $140 le haghaidh hack Parallels Desktop (ag fágáil an mheaisín fíorúil agus cód a fhorghníomhú ar an bpríomhchóras). Rinneadh an t-ionsaí trí shaothrú trí leochaileacht dhifriúla - sceitheadh cuimhne gan bhunús, ró-shreabhadh cruachta agus ró-shreabhadh slánuimhir.
- Dhá dhámhachtain 40 míle dollar an ceann le haghaidh hack Parallels Desktop (earráid loighciúil agus ró-shreabhadh maolánach a cheadaigh cód a fhorghníomhú in OS seachtrach trí ghníomhartha taobh istigh de mheaisín fíorúil).
- Trí dhuais de 40 míle dollar as trí shaothrú rathúla Windows 10 (ró-shreabhadh slánuimhreach, rochtain ar chuimhne shaor, agus coinníoll rása a ligeann do phribhléidí SYSTEM a fháil).
Rinneadh iarrachtaí, ach níor éirigh leo, Oracle VirtualBox a hack. Níor éilíodh ainmniúcháin le haghaidh hacking Firefox, VMware ESXi, cliant Hyper-V, MS Office 365, MS SharePoint, MS RDP agus Adobe Reader. Ní raibh aon duine sásta freisin hack chóras faisnéise carr Tesla a hack, in ainneoin an duais de 600 míle dollar móide carr Tesla Model 3.
Foinse: oscailtenet.ru
