מוצרי אובונטו, Chrome, Safari, Parallels ומוצרי Microsoft נפרצו בתחרות Pwn2Own 2021

סוכמו התוצאות של שלושה ימים של תחרות Pwn2Own 2021, המתקיימת מדי שנה במסגרת כנס CanSecWest. כמו בשנה שעברה, התחרות נערכה באופן וירטואלי וההתקפות הוצגו ברשת. מתוך 23 היעדים הממוקדים, טכניקות עבודה לניצול פגיעויות שלא ידועות בעבר הוצגו עבור Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams ו-Zoom. בכל המקרים נבדקו הגרסאות העדכניות ביותר של התוכנות, כולל כל העדכונים הזמינים. הסכום הכולל של התשלומים היה מיליון ומאתים אלף דולר (סך קרן הפרסים היה מיליון וחצי דולר).

בתחרות נעשו שלושה ניסיונות לנצל נקודות תורפה ב-Ubuntu Desktop. הניסיון הראשון והשני היו תקפים והתוקפים הצליחו להפגין הסלמה מקומית של הרשאות על ידי ניצול פגיעויות שלא ידועות בעבר הקשורות לגלישה במאגר וזיכרון פנוי כפול (אשר רכיבי הבעיה טרם דווחו; למפתחים ניתנים 90 יום לתקן שגיאות לפני חשיפת נתונים). בונוסים בסך 30$ שולמו עבור נקודות התורפה הללו.

הניסיון השלישי, שנעשה על ידי צוות אחר בקטגוריית ניצול לרעה של הרשאות מקומיות, הצליח רק בחלקו - הניצול עבד ואיפשר להשיג גישת שורש, אך המתקפה לא זוכה במלואה, מאחר שהשגיאה הקשורה לפגיעות כבר הייתה ידועה למפתחי אובונטו ועדכון עם תיקון היה בתהליך הכנה.

התקפה מוצלחת הודגמה גם עבור דפדפנים המבוססים על מנוע Chromium - Google Chrome ו-Microsoft Edge. עבור יצירת ניצול המאפשר לך לבצע את הקוד שלך בעת פתיחת דף שעוצב במיוחד בכרום וב-Edge (נוצר ניצול אוניברסלי אחד לשני דפדפנים), שולם פרס של 100 אלף דולר. התיקון מתוכנן להתפרסם בשעות הקרובות, עד כה כל מה שידוע הוא שהפגיעות קיימת בתהליך האחראי על עיבוד תוכן האינטרנט (רנדר).

התקפות מוצלחות נוספות:

• 200 אלף דולר על פריצת אפליקציית Zoom (הצליח לבצע את הקוד שלו באמצעות שליחת הודעה למשתמש אחר, ללא צורך בפעולה כלשהי מצד הנמען). המתקפה השתמשה בשלוש נקודות תורפה בזום ואחת במערכת ההפעלה Windows.
• 200 אלף דולר עבור פריצת Microsoft Exchange (עקיפת אימות והסלמה מקומית של הרשאות בשרת כדי לקבל זכויות מנהל). ניצול נוסף שעבד בהצלחה הוכח לצוות אחר, אך הפרס השני לא שולם, מכיוון שאותן שגיאות כבר היו בשימוש על ידי הצוות הראשון.
• 200 אלף דולר עבור פריצת Microsoft Teams (ביצוע קוד בשרת).
• 100 אלף דולר עבור ניצול Apple Safari (הצפת מספרים שלמים בספארי והצפת חיץ בליבת macOS כדי לעקוף את ארגז החול ולהפעיל קוד ברמת הקרנל).
• 140 אלף דולר עבור פריצת Parallels Desktop (יציאה מהמכונה הוירטואלית וביצוע קוד במערכת הראשית). המתקפה בוצעה באמצעות ניצול של שלוש נקודות תורפה שונות - דליפת זיכרון לא מאותחלת, הצפת מחסנית והצפה של מספרים שלמים.
• שני פרסים של 40 אלף דולר כל אחד עבור פריצת Parallels Desktop (שגיאה לוגית והצפת חיץ שאפשרה ביצוע קוד במערכת הפעלה חיצונית באמצעות פעולות בתוך מכונה וירטואלית).
• שלושה פרסים של 40 אלף דולר עבור שלושה ניצולים מוצלחים של Windows 10 (הצפת מספרים שלמים, גישה לזיכרון משוחרר כבר ותנאי מרוץ שאפשר השגת הרשאות SYSTEM).

נעשו ניסיונות, אך לא צלחו, לפרוץ ל-Oracle VirtualBox. מועמדויות לפריצה ל-Firefox, VMware ESXi, Hyper-V Client, MS Office 365, MS SharePoint, MS RDP ו-Adobe Reader נותרו ללא דרישה. גם לא היה מי שהיה מוכן להדגים את הפריצה למערכת המידע של מכונית טסלה, למרות הפרס של 600 אלף דולר פלוס מכונית טסלה דגם 3.

מקור: OpenNet.ru