Hasil dari kompetisi Pwn2Own 2021 selama tiga hari, yang diadakan setiap tahun sebagai bagian dari konferensi CanSecWest, telah dirangkum. Seperti tahun lalu, kompetisi diadakan secara virtual dan serangannya diperagakan secara online. Dari 23 target yang ditargetkan, teknik kerja untuk mengeksploitasi kerentanan yang sebelumnya tidak diketahui didemonstrasikan untuk Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams, dan Zoom. Dalam semua kasus, versi terbaru dari program telah diuji, termasuk semua pembaruan yang tersedia. Jumlah total pembayaran adalah satu juta dua ratus ribu dolar AS (total dana hadiah adalah satu setengah juta dolar).
Pada kompetisi tersebut, tiga upaya dilakukan untuk mengeksploitasi kerentanan di Desktop Ubuntu. Upaya pertama dan kedua valid dan penyerang mampu menunjukkan peningkatan hak istimewa lokal dengan mengeksploitasi kerentanan yang sebelumnya tidak diketahui terkait dengan buffer overflow dan memori bebas ganda (yang merupakan komponen masalah yang belum dilaporkan; pengembang diberi waktu 90 hari untuk memperbaikinya kesalahan sebelum mengungkapkan data). Bonus sebesar $30 dibayarkan untuk kerentanan ini.
Upaya ketiga, yang dilakukan oleh tim lain dalam kategori penyalahgunaan hak istimewa lokal, hanya berhasil sebagian - eksploitasi berhasil dan memungkinkan untuk mendapatkan akses root, namun serangan tersebut tidak sepenuhnya dikreditkan, karena kesalahan yang terkait dengan kerentanan sudah diketahui. kepada pengembang Ubuntu dan pembaruan dengan perbaikan sedang dalam proses persiapan.
Serangan yang berhasil juga ditunjukkan untuk browser berbasis mesin Chromium - Google Chrome dan Microsoft Edge. Untuk membuat eksploitasi yang memungkinkan Anda mengeksekusi kode saat membuka halaman yang dirancang khusus di Chrome dan Edge (satu eksploitasi universal dibuat untuk dua browser), hadiah sebesar 100 ribu dolar telah dibayarkan. Perbaikan tersebut rencananya akan dipublikasikan dalam beberapa jam mendatang, sejauh ini yang diketahui hanyalah bahwa kerentanan ada pada proses yang bertanggung jawab untuk memproses konten web (renderer).
Serangan sukses lainnya:
- $200 ribu untuk meretas aplikasi Zoom (berhasil mengeksekusi kodenya dengan mengirimkan pesan ke pengguna lain, tanpa perlu tindakan apa pun dari pihak penerima). Serangan tersebut menggunakan tiga kerentanan di Zoom dan satu di sistem operasi Windows.
- $200 ribu untuk meretas Microsoft Exchange (melewati otentikasi dan meningkatkan hak istimewa secara lokal di server untuk mendapatkan hak administrator). Eksploitasi lain yang berhasil ditunjukkan kepada tim lain, tetapi hadiah kedua tidak dibayarkan, karena kesalahan yang sama telah dilakukan oleh tim pertama.
- $200 ribu untuk meretas Microsoft Teams (mengeksekusi kode di server).
- $100 ribu untuk mengeksploitasi Apple Safari (integer overflow di Safari dan buffer overflow di kernel macOS untuk melewati sandbox dan mengeksekusi kode di level kernel).
- $140 ribu untuk meretas Parallels Desktop (keluar dari mesin virtual dan mengeksekusi kode pada sistem utama). Serangan itu dilakukan melalui eksploitasi tiga kerentanan berbeda - kebocoran memori yang tidak diinisialisasi, stack overflow, dan integer overflow.
- Dua penghargaan masing-masing 40 ribu dolar untuk meretas Parallels Desktop (kesalahan logis dan buffer overflow yang memungkinkan kode dieksekusi di OS eksternal melalui tindakan di dalam mesin virtual).
- Tiga penghargaan sebesar 40 ribu dolar untuk tiga eksploitasi Windows 10 yang berhasil (integer overflow, akses ke memori yang sudah dibebaskan dan kondisi balapan yang memungkinkan diperolehnya hak istimewa SISTEM).
Upaya telah dilakukan, namun tidak berhasil, untuk meretas Oracle VirtualBox. Nominasi untuk meretas Firefox, VMware ESXi, klien Hyper-V, MS Office 365, MS SharePoint, MS RDP dan Adobe Reader tetap tidak diklaim. Tak ada juga yang mau mendemonstrasikan peretasan sistem informasi mobil Tesla, meski berhadiah 600 ribu dolar plus mobil Tesla Model 3.
Sumber: opennet.ru