Sono stati riassunti i risultati di tre giorni del concorso Pwn2Own 2021, che si tiene ogni anno nell'ambito della conferenza CanSecWest. Come l’anno scorso, il concorso si è svolto virtualmente e gli attacchi sono stati dimostrati online. Dei 23 obiettivi presi di mira, sono state dimostrate tecniche operative per sfruttare vulnerabilità precedentemente sconosciute per Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams e Zoom. In tutti i casi sono state testate le ultime versioni dei programmi, compresi tutti gli aggiornamenti disponibili. L'importo totale dei pagamenti è stato di un milione e duecentomila dollari USA (il montepremi totale è stato di un milione e mezzo di dollari).
Durante il concorso sono stati fatti tre tentativi per sfruttare le vulnerabilità di Ubuntu Desktop. Il primo e il secondo tentativo sono stati validi e gli aggressori sono stati in grado di dimostrare l'escalation locale dei privilegi sfruttando vulnerabilità precedentemente sconosciute legate al buffer overflow e alla doppia memoria libera (quali componenti del problema non sono ancora stati segnalati; agli sviluppatori vengono concessi 90 giorni per correggere errori prima della comunicazione dei dati). Per queste vulnerabilità sono stati pagati bonus di $ 30.
Il terzo tentativo, effettuato da un altro team della categoria abuso dei privilegi locali, è riuscito solo parzialmente: l'exploit ha funzionato e ha permesso di ottenere l'accesso come root, ma l'attacco non è stato pienamente accreditato, poiché l'errore associato alla vulnerabilità era già noto agli sviluppatori di Ubuntu ed era in fase di preparazione un aggiornamento con una correzione.
È stato dimostrato un attacco riuscito anche contro i browser basati sul motore Chromium: Google Chrome e Microsoft Edge. Per aver creato un exploit che ti consente di eseguire il tuo codice all'apertura di una pagina appositamente progettata in Chrome ed Edge (è stato creato un exploit universale per due browser), è stato pagato un premio di 100mila dollari. La pubblicazione del fix è prevista nelle prossime ore, per ora si sa solo che la vulnerabilità è presente nel processo responsabile dell'elaborazione dei contenuti web (renderer).
Altri attacchi riusciti:
- 200mila dollari per aver hackerato l'applicazione Zoom (è riuscito a eseguire il suo codice inviando un messaggio a un altro utente, senza bisogno di alcuna azione da parte del destinatario). L'attacco ha sfruttato tre vulnerabilità in Zoom e una nel sistema operativo Windows.
- $ 200mila per aver hackerato Microsoft Exchange (aggirando l'autenticazione e aumentando localmente i privilegi sul server per ottenere i diritti di amministratore). Un altro exploit riuscito è stato dimostrato ad un'altra squadra, ma il secondo premio non è stato pagato, poiché gli stessi errori erano già stati commessi dalla prima squadra.
- $ 200mila per aver hackerato Microsoft Teams (eseguendo codice sul server).
- $ 100mila per aver sfruttato Apple Safari (overflow di numeri interi in Safari e overflow del buffer nel kernel di macOS per bypassare sandbox ed eseguire codice a livello di kernel).
- $ 140mila per aver hackerato Parallels Desktop (uscendo dalla macchina virtuale ed eseguendo il codice sul sistema principale). L'attacco è stato effettuato sfruttando tre diverse vulnerabilità: memory leak non inizializzato, stack overflow e integer overflow.
- Due premi da 40mila dollari ciascuno per l'hacking di Parallels Desktop (un errore logico e un buffer overflow che consentivano l'esecuzione del codice in un sistema operativo esterno attraverso azioni all'interno di una macchina virtuale).
- Tre premi da 40mila dollari per tre exploit riusciti di Windows 10 (overflow di numeri interi, accesso alla memoria già liberata e una race condition che ha permesso di ottenere i privilegi di SISTEMA).
Sono stati fatti tentativi, ma senza successo, per hackerare Oracle VirtualBox. Le candidature per l'hacking di Firefox, VMware ESXi, client Hyper-V, MS Office 365, MS SharePoint, MS RDP e Adobe Reader sono rimaste non reclamate. Inoltre non c'era nessuno disposto a dimostrare l'hacking del sistema informativo di un'auto Tesla, nonostante il premio di 600mila dollari più un'auto Tesla Model 3.
Fonte: opennet.ru