Hasil kompetisi Pwn2Own 2021 selama tiga hari, yang diadakan setiap tahun sebagai bagian dari konferensi CanSecWest, telah diumumkan. Seperti tahun sebelumnya, kompetisi ini diadakan secara virtual, dan serangan didemonstrasikan secara daring. Teknik-teknik yang berfungsi untuk mengeksploitasi kerentanan yang sebelumnya tidak diketahui didemonstrasikan untuk 23 target yang telah ditentukan. Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams, dan Zoom. Dalam semua kasus, versi terbaru dari program-program tersebut, termasuk semua pembaruan yang tersedia, telah diuji. Total pembayaran adalah satu juta dua ratus ribu dolar AS (total hadiah adalah satu setengah juta dolar).
Tiga upaya untuk mengeksploitasi kerentanan dilakukan selama kompetisi. Ubuntu Desktop. Upaya pertama dan kedua berhasil, dan penyerang menunjukkan peningkatan hak akses lokal dengan mengeksploitasi kerentanan yang sebelumnya tidak diketahui terkait dengan buffer overflow dan double-free (komponen spesifik yang terpengaruh oleh masalah ini belum diungkapkan; pengembang memiliki waktu 90 hari untuk memperbaiki bug sebelum mengungkapkan detailnya). Hadiah sebesar $30 dibayarkan untuk kerentanan ini.
Upaya ketiga oleh tim lain dalam kategori peningkatan hak akses lokal hanya sebagian berhasil—eksploitasi berhasil dan memungkinkan akses root, tetapi serangan tersebut tidak sepenuhnya diakui karena bug terkait kerentanan tersebut sudah diketahui oleh para pengembang. Ubuntu dan pembaruan dengan perbaikan sedang dipersiapkan.
Serangan yang berhasil juga didemonstrasikan untuk peramban berbasis Chromium—Google Chrome dan Microsoft Edge. Hadiah sebesar $100 dibayarkan untuk pembuatan eksploitasi yang akan mengeksekusi kode ketika halaman yang dirancang khusus dibuka di Chrome dan Edge (satu eksploitasi dibuat untuk kedua peramban). Sebuah patch direncanakan akan diterbitkan dalam beberapa jam mendatang; sejauh ini, yang diketahui hanyalah kerentanan tersebut berada dalam proses yang bertanggung jawab untuk memproses konten web (renderer).
Serangan sukses lainnya:
- $200 untuk peretasan aplikasi Zoom (penyerang berhasil mengeksekusi kode mereka dengan mengirim pesan ke pengguna lain, tanpa mengharuskan penerima untuk melakukan tindakan apa pun). Serangan tersebut mengeksploitasi tiga kerentanan di Zoom dan satu di sistem operasi. Windows.
- $200 untuk meretas Microsoft Exchange (melewati otentikasi dan peningkatan hak akses lokal pada server (untuk mendapatkan hak administrator). Tim lain mendemonstrasikan eksploitasi lain yang berhasil, tetapi hadiah kedua tidak dibayarkan karena bug yang sama telah dieksploitasi oleh tim pertama.
- $200 untuk meretas Microsoft Teams (menjalankan kode pada server).
- $100 untuk mengeksploitasi Apple Safari (integer overflow di Safari dan kernel buffer overflow) macOS untuk melewati sandbox dan mengeksekusi kode pada level kernel).
- $140 untuk meretas Parallels Desktop (melarikan diri dari mesin virtual dan mengeksekusi kode pada sistem host). Serangan tersebut mengeksploitasi tiga kerentanan berbeda: kebocoran memori yang tidak diinisialisasi, luapan tumpukan, dan luapan integer.
- Dua hadiah sebesar $40 untuk peretasan Parallels Desktop (kesalahan logika dan luapan buffer yang memungkinkan eksekusi kode dalam OS pihak ketiga melalui tindakan di dalam mesin virtual).
- Tiga hadiah masing-masing 40 ribu dolar untuk tiga eksploitasi yang berhasil. Windows 10 (integer overflow, akses ke memori yang telah dibebaskan, dan race condition yang memungkinkan diperolehnya hak akses SYSTEM).
Upaya meretas Oracle VirtualBox telah dilakukan, tetapi tidak berhasil. Nominasi untuk meretas Firefox, VMware ESXi, klien Hyper-V, MS Office 365, MS SharePoint, MS RDP, dan Adobe Reader masih belum diklaim. Tidak ada yang mengajukan diri untuk mendemonstrasikan peretasan sistem informasi Tesla, meskipun ada hadiah $600 dan sebuah Tesla Model 3.
Sumber: opennet.ru
