Búið er að draga saman niðurstöður þriggja daga Pwn2Own 2021 keppninnar, sem haldin er árlega sem hluti af CanSecWest ráðstefnunni. Líkt og í fyrra var keppnin nánast haldin og árásirnar sýndar á netinu. Af 23 skotmörkum var sýnt fram á vinnutækni til að nýta áður óþekkta veikleika fyrir Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams og Zoom. Í öllum tilvikum voru nýjustu útgáfur forritanna prófaðar, þar á meðal allar tiltækar uppfærslur. Heildarupphæð greiðslna var ein milljón og tvö hundruð þúsund Bandaríkjadalir (heildarverðlaunasjóðurinn var ein og hálf milljón dollara).
Í keppninni voru þrjár tilraunir gerðar til að nýta veikleika í Ubuntu Desktop. Fyrsta og önnur tilraunin voru gild og árásarmennirnir gátu sýnt fram á staðbundna aukningu réttinda með því að nýta áður óþekkta veikleika sem tengdust biðminni og tvöföldu lausu minni (það hefur ekki enn verið tilkynnt um hluti vandamálsins; forritarar fá 90 daga til að leiðrétta villur áður en gögn eru birt). Bónusar upp á $30 voru greiddir fyrir þessa veikleika.
Þriðja tilraunin, sem gerð var af öðru teymi í staðbundnum forréttindamisnotkunarflokki, heppnaðist aðeins að hluta - misnotkunin virkaði og gerði það mögulegt að fá rótaraðgang, en árásin var ekki fullgild, þar sem villan í tengslum við varnarleysið var þegar þekkt til Ubuntu forritara og uppfærsla með lagfæringu var í undirbúningi.
Einnig var sýnt fram á árangursríka árás fyrir vafra byggða á Chromium vélinni - Google Chrome og Microsoft Edge. Fyrir að búa til hagnýtingu sem gerir þér kleift að keyra kóðann þinn þegar þú opnar sérhannaða síðu í Chrome og Edge (ein alhliða hetjudáð var búin til fyrir tvo vafra), voru greidd verðlaun upp á 100 þúsund dollara. Stefnt er að því að lagfæringin verði birt á næstu klukkustundum, svo langt er allt sem er vitað að varnarleysið sé til staðar í ferlinu sem ber ábyrgð á vinnslu vefefnis (renderer).
Aðrar árangursríkar árásir:
- 200 þúsund dollara fyrir að hakka inn Zoom forritið (tókst að keyra kóðann hans með því að senda skilaboð til annars notanda, án þess að þörf væri á aðgerðum af hálfu viðtakanda). Árásin notaði þrjá veikleika í Zoom og einn í Windows stýrikerfinu.
- $200 þúsund fyrir að hakka Microsoft Exchange (framhjá auðkenningu og staðbundið stækkandi réttindi á þjóninum til að öðlast stjórnandaréttindi). Annað teymi var sýnt fram á annan árangursríkan árangur, en önnur verðlaun voru ekki greidd, þar sem sömu villur höfðu þegar verið notaðar af fyrsta liðinu.
- $200 þúsund fyrir að hakka Microsoft Teams (keyra kóða á þjóninum).
- $100 þúsund fyrir að nýta Apple Safari (heiltöluflæði í Safari og biðminni í macOS kjarnanum til að komast framhjá sandkassa og keyra kóða á kjarnastigi).
- $140 þúsund fyrir að hakka inn Parallels Desktop (hætta sýndarvélinni og keyra kóða á aðalkerfinu). Árásin var gerð með því að nýta þrjá mismunandi veikleika - óinitialdan minnisleka, staflaflæði og heiltöluflæði.
- Tvö verðlaun upp á 40 þúsund dollara hvor fyrir að hakka inn Parallels Desktop (rökrétt villa og biðminni sem gerði kleift að keyra kóða í utanaðkomandi stýrikerfi með aðgerðum inni í sýndarvél).
- Þrenn verðlaun upp á 40 þúsund dollara fyrir þrjú vel heppnuð hetjudáð af Windows 10 (heiltöluflæði, aðgangur að þegar lausu minni og keppnisskilyrði sem leyfði að fá KERFI forréttindi).
Tilraunir voru gerðar, en án árangurs, til að hakka inn Oracle VirtualBox. Tilnefningar til að hakka inn Firefox, VMware ESXi, Hyper-V biðlara, MS Office 365, MS SharePoint, MS RDP og Adobe Reader voru ósóttar. Það var heldur enginn til í að sýna fram á innbrot á upplýsingakerfi Tesla bíls, þrátt fyrir 600 þúsund dollara vinning auk Tesla Model 3 bíls.
Heimild: opennet.ru