Búið er að draga saman niðurstöður þriggja daga Pwn2Own 2022 keppninnar, sem haldin er árlega sem hluti af CanSecWest ráðstefnunni. Sýnt hefur verið fram á vinnutækni til að nýta áður óþekkta veikleika fyrir Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams og Firefox. Alls var sýnt fram á 25 vel heppnaðar árásir og þrjár tilraunir enduðu með misheppnuðum hætti. Árásirnar notuðu nýjustu stöðugu útgáfurnar af forritum, vafra og stýrikerfum með öllum tiltækum uppfærslum og í sjálfgefna stillingu. Heildarfjárhæð greiddra þóknunar var 1,155,000 USD.
Keppnin sýndi fimm árangursríkar tilraunir til að nýta áður óþekkta veikleika í Ubuntu Desktop, gerðar af mismunandi teymum þátttakenda. Ein $40 verðlaun voru greidd fyrir að sýna staðbundnar forréttindi stigmögnun í Ubuntu Desktop með því að nýta tvö biðminni flæði og tvöfalt ókeypis mál. Fjögur verðlaun, hver að verðmæti $40, voru veitt fyrir að sýna fram á aukningu forréttinda með því að nýta sér veikleika Notkunar-Eftir-Free.
Ekki hefur enn verið greint frá nákvæmum þáttum vandamálsins; í samræmi við keppnisskilmálana verða nákvæmar upplýsingar um alla sýnda 0-daga veikleika aðeins birtar eftir 90 daga, sem eru gefnar framleiðendum til að undirbúa uppfærslur sem útrýma varnarleysi.
Aðrar árangursríkar árásir:
- 100 þúsund dollara til að þróa hagnýtingu fyrir Firefox, sem gerði kleift, við opnun sérhönnuðrar síðu, að komast framhjá einangrun sandkassa og keyra kóða í kerfinu.
- $40 til að sýna fram á misnotkun sem notar biðminni í Oracle Virtualbox til að skrá þig út af gest.
- $50 þúsund fyrir rekstur Apple Safari (buffer overflow).
- 450 þúsund dollara fyrir að hakka Microsoft Teams (mismunandi lið sýndu þrjú innbrot með 150 þúsund verðlaunum fyrir hvert).
- 80 þúsund dollara (tvö verðlaun að upphæð 40 þúsund hvor) fyrir að nýta biðminni og auka réttindi manns í Microsoft Windows 11.
- 80 þúsund dollara (tvö verðlaun að upphæð 40 þúsund hvor) fyrir að nýta villu í aðgangsstaðfestingarkóðanum til að auka réttindi manns í Microsoft Windows 11.
- $40K fyrir að nýta heiltöluflæði til að auka réttindi í Microsoft Windows 11.
- 40 þúsund Bandaríkjadala fyrir að nýta sér veikleika fyrir notkun eftir ókeypis í Microsoft Windows 11.
- 75 þúsund dollara fyrir að sýna fram á árás á upplýsinga- og afþreyingarkerfi Telsa Model 3. Árásin notaði galla sem leiddu til yfirflæðis í biðminni og tvöfalda losun, ásamt áður þekktri tækni til að komast framhjá einangrun sandkassa.
Aðskildar tilraunir voru gerðar, en án árangurs, til að hakka inn Microsoft Windows 11 (6 heppnuð innbrot og 1 misheppnuð), Tesla (1 heppnuð hakk og 1 misheppnuð) og Microsoft Teams (3 heppnuð innbrot og 1 misheppnuð). Það voru engar beiðnir um að sýna fram á hetjudáð í Google Chrome á þessu ári.
Heimild: opennet.ru