risultati di due giorni di gare Pwn2Own 2020, che si tengono ogni anno nell'ambito della conferenza CanSecWest. Quest’anno il concorso si è svolto virtualmente e gli attacchi sono stati dimostrati online. Il concorso ha presentato tecniche di lavoro per sfruttare vulnerabilità precedentemente sconosciute in Ubuntu Desktop (kernel Linux), Windows, macOS, Safari, VirtualBox e Adobe Reader. L'importo totale dei pagamenti è stato di 270mila dollari (montepremi totale più di 4 milioni di dollari USA).
- Escalation locale dei privilegi su Ubuntu Desktop sfruttando una vulnerabilità nel kernel Linux associata alla verifica errata dei valori di input (premio $ 30);
- Dimostrazione dell'uscita dall'ambiente ospite in VirtualBox e dell'esecuzione del codice con diritti hypervisor, sfruttando due vulnerabilità: la capacità di leggere i dati da un'area esterna al buffer allocato e un errore quando si lavora con variabili non inizializzate (premio 40mila dollari). Al di fuori della competizione, i rappresentanti della Zero Day Initiative hanno anche dimostrato un altro hack di VirtualBox, che consente l'accesso al sistema host attraverso manipolazioni nell'ambiente ospite;
- Hackerare Safari con privilegi elevati al livello del kernel macOS ed eseguire la calcolatrice come root. Per lo sfruttamento è stata utilizzata una catena di 6 errori (premio 70mila dollari);
- Due dimostrazioni di escalation di privilegi locali in Windows attraverso lo sfruttamento di vulnerabilità che portano all'accesso ad un'area di memoria già liberata (due premi da 40mila dollari ciascuno);
- Ottenere l'accesso come amministratore in Windows quando si apre un documento PDF appositamente progettato in Adobe Reader. L'attacco coinvolge vulnerabilità in Acrobat e nel kernel di Windows legate all'accesso ad aree di memoria già liberate (premio di 50 dollari).
Le candidature per l'hacking di Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office e Microsoft Windows RDP non sono state reclamate. È stato effettuato un tentativo di hackerare VMware Workstation, ma non ha avuto successo.
Come l'anno scorso, le categorie dei premi non includevano gli hack della maggior parte dei progetti open source (nginx, OpenSSL, Apache httpd).
Separatamente, possiamo notare il tema dell'hacking dei sistemi informativi di un'auto Tesla. Non ci sono stati tentativi di hackerare Tesla durante la competizione, nonostante il premio massimo di 700mila dollari, ma separatamente sull'identificazione di una vulnerabilità DoS (CVE-2020-10558) nella Tesla Model 3, che consente, quando si apre una pagina appositamente progettata nel browser integrato, di disabilitare le notifiche dall'autopilota e interrompere il funzionamento di componenti come il tachimetro, il browser, l'aria condizionata, il sistema di navigazione, ecc.
Fonte: opennet.ru