Sono stati riassunti i risultati di tre giorni del concorso Pwn2Own 2022, che si tiene ogni anno nell'ambito della conferenza CanSecWest. Sono state dimostrate tecniche di lavoro per sfruttare vulnerabilità precedentemente sconosciute per Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams e Firefox. Sono stati dimostrati un totale di 25 attacchi riusciti e tre tentativi si sono conclusi con un fallimento. Gli attacchi hanno utilizzato le ultime versioni stabili di applicazioni, browser e sistemi operativi con tutti gli aggiornamenti disponibili e le configurazioni predefinite. L'importo totale della remunerazione corrisposta è stato di USD 1,155,000.
Il concorso ha dimostrato cinque tentativi riusciti di sfruttare vulnerabilità precedentemente sconosciute in Ubuntu Desktop, intrapresi da diversi team di partecipanti. Un premio di 40 dollari è stato pagato per aver dimostrato l'escalation dei privilegi locali in Ubuntu Desktop sfruttando due problemi di buffer overflow e double free. Quattro premi, ciascuno del valore di 40 dollari, sono stati assegnati per aver dimostrato l'escalation dei privilegi attraverso lo sfruttamento delle vulnerabilità Use-After-Free.
Le componenti esatte del problema non sono ancora state segnalate; in conformità con i termini del concorso, informazioni dettagliate su tutte le vulnerabilità 0-day dimostrate verranno pubblicate solo dopo 90 giorni, che vengono dati ai produttori per preparare aggiornamenti che eliminino la vulnerabilità. vulnerabilità.
Altri attacchi riusciti:
- 100mila dollari per lo sviluppo di un exploit per Firefox, che permetteva, all'apertura di una pagina appositamente progettata, di aggirare l'isolamento sandbox ed eseguire codice nel sistema.
- $ 40 per dimostrare un exploit che utilizza un buffer overflow in Oracle Virtualbox per disconnettersi da un ospite.
- $ 50mila per il funzionamento di Apple Safari (buffer overflow).
- 450mila dollari per l'hacking di Microsoft Teams (diversi team hanno dimostrato tre hack con una ricompensa di 150mila ciascuno).
- 80mila dollari (due premi da 40mila ciascuno) per lo sfruttamento del buffer overflow e l'escalation dei propri privilegi in Microsoft Windows 11.
- 80mila dollari (due premi da 40mila ciascuno) per aver sfruttato un bug nel codice di verifica degli accessi per aumentare i propri privilegi su Microsoft Windows 11.
- $ 40 per aver sfruttato l'overflow di numeri interi per aumentare i privilegi in Microsoft Windows 11.
- $ 40mila per aver sfruttato una vulnerabilità Use-After-Free in Microsoft Windows 11.
- 75mila dollari per aver dimostrato un attacco al sistema di infotainment di una Telsa Model 3. L'exploit utilizzava bug che portavano a buffer overflow e doppi rilasci, insieme a una tecnica precedentemente nota per aggirare l'isolamento sandbox.
Sono stati effettuati tentativi separati, ma senza successo, per hackerare Microsoft Windows 11 (6 hack riusciti e 1 non riuscito), Tesla (1 hack riuscito e 1 non riuscito) e Microsoft Teams (3 hack riusciti e 1 non riuscito). Quest'anno non ci sono state richieste di dimostrazione di exploit in Google Chrome.
Fonte: opennet.ru