CanSecWest конференциясы аясында жыл сайын өткізілетін Pwn2Own 2022 байқауының үш күнінің қорытындысы шығарылды. Бұрын белгісіз осалдықтарды пайдаланудың жұмыс әдістері Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams және Firefox үшін көрсетілді. Барлығы 25 сәтті шабуыл көрсетілді және үш әрекет сәтсіз аяқталды. Шабуылдар барлық қолжетімді жаңартулары бар және әдепкі конфигурациядағы қолданбалардың, браузерлердің және операциялық жүйелердің соңғы тұрақты шығарылымдарын пайдаланды. Төленген сыйақының жалпы сомасы 1,155,000 XNUMX XNUMX АҚШ долларын құрады.
Байқау қатысушылардың әртүрлі топтары жасаған Ubuntu жұмыс үстеліндегі бұрын белгісіз осалдықтарды пайдаланудың бес сәтті әрекетін көрсетті. 40 40 АҚШ доллары көлеміндегі бір сыйлық екі буфердің толып кетуін және қосарлы тегін мәселені пайдалану арқылы Ubuntu жұмыс үстелінде жергілікті артықшылықты арттыруды көрсету үшін төленді. Әрқайсысының құны XNUMX XNUMX АҚШ доллары болатын төрт марапат «Free Use-After-Free» осалдықтарын пайдалану арқылы артықшылықты арттыруды көрсеткені үшін берілді.
Мәселенің нақты құрамдас бөліктері әлі хабарланбаған; байқау шарттарына сәйкес, барлық көрсетілген 0 күндік осалдықтар туралы егжей-тегжейлі ақпарат 90 күннен кейін ғана жарияланады, олар өндірушілерге ақауларды жоятын жаңартуларды дайындау үшін беріледі. осалдықтар.
Басқа сәтті шабуылдар:
- Арнайы әзірленген бетті ашқан кезде құмсалғышты оқшаулауды айналып өтуге және жүйеде кодты орындауға мүмкіндік беретін Firefox-қа арналған эксплойт әзірлеуге 100 мың доллар.
- Қонақтан шығу үшін Oracle Virtualbox жүйесінде буфердің толып кетуін пайдаланатын эксплуатацияны көрсету үшін $40 XNUMX.
- Apple Safari операциясы үшін 50 мың доллар (буфердің толып кетуі).
- Microsoft Teams ойынын бұзу үшін 450 мың доллар (әр түрлі командалар әрқайсысына 150 мың сыйақы беретін үш хакерлік көрсетті).
- 80 мың доллар (әрқайсысы 40 мыңнан екі сыйлық) Microsoft Windows 11 жүйесінде буфердің толып кетуін пайдаланғаны және артықшылықтарды арттырғаны үшін.
- 80 мың доллар (әрқайсысы 40 мыңнан екі сыйлық) Microsoft Windows 11 жүйесіндегі артықшылықтарды арттыру үшін рұқсатты растау кодындағы қатені пайдаланғаны үшін.
- Microsoft Windows 40 жүйесінде артықшылықтарды арттыру үшін бүтін сандардың толып кетуін пайдалану үшін $11 мың.
- Microsoft Windows 40 жүйесіндегі Use-After-Free осалдығын пайдалану үшін $11 мың.
- Telsa Model 75 ақпараттық ойын-сауық жүйесіне жасалған шабуылды көрсету үшін $3 мың. Эксплойт буфердің толып кетуіне және қосарланған босатуға әкелетін қателерді, сонымен қатар құмсалғышты оқшаулауды айналып өтудің бұрын белгілі әдістемесін пайдаланды.
Microsoft Windows 11 (6 сәтті бұзу және 1 сәтсіз), Tesla (1 сәтті бұзу және 1 сәтсіз) және Microsoft Teams (3 сәтті бұзу және 1 сәтсіз) жүйелерін бұзуға жеке әрекеттер жасалды, бірақ сәтсіз болды. Осы жылы Google Chrome браузерінде эксплойттарды көрсетуге сұраулар болған жоқ.
Ақпарат көзі: opennet.ru