Resultater vun zwee Deeg Concoursen Pwn2Own 2020, all Joer als Deel vun der CanSecWest Konferenz ofgehale. Dëst Joer gouf de Concours virtuell ofgehalen an d'Attacke goufen online demonstréiert. D'Konkurrenz huet d'Aarbechtstechnike presentéiert fir d'Exploitatioun vun virdrun onbekannte Schwachstelle bei Ubuntu Desktop (Linux Kernel), Windows, macOS, Safari, VirtualBox an Adobe Reader. De Gesamtbetrag vun de Bezuelungen war 270 dausend Dollar (Gesamtpräisfonds méi wéi 4 Milliounen US Dollar).
- Lokal Eskalatioun vu Privilegien am Ubuntu Desktop duerch Ausbeutung vun enger Schwachstelle am Linux Kernel verbonne mat falscher Verifizéierung vun Input Wäerter (Präis $ 30);
- Demonstratioun vum Gaaschtëmfeld an der VirtualBox erauszekréien an auszeféieren Code mat Hypervisor Rechter, Ausbeutung vun zwee Schwachstelle - d'Fäegkeet Daten aus engem Gebitt ausserhalb vum zougewisen Puffer ze liesen an e Feeler wann Dir mat oninitialiséierte Variablen schafft (e Präis vun 40 Tausend Dollar). Ausserhalb vum Concours hunn d'Vertrieder vun der Zero Day Initiative och en anere VirtualBox-Hack demonstréiert, deen den Zougang zum Hostsystem duerch Manipulatiounen am Gaaschtëmfeld erlaabt;
- Hacking Safari mat erhéngte Privilegien op de macOS Kernel Niveau a lafen de Rechner als Root. Fir d'Ausbeutung gouf eng Kette vu 6 Feeler benotzt (Präis 70 dausend Dollar);
- Zwou Demonstratiounen vun der lokaler Privileg Eskalatioun am Windows duerch d'Ausbeutung vu Schwachstelle, déi zum Zougang zu engem scho befreit Erënnerungsberäich féieren (zwee Präisser vun 40 Tausend Dollar all);
- Gitt Administrator Zougang zu Windows wann Dir e speziell entworf PDF Dokument am Adobe Reader opmaacht. D'Attack involvéiert Schwachstelle bei Acrobat an dem Windows Kernel am Zesummenhang mat Zougang zu scho befreit Erënnerungsberäicher (Präis vun $ 50).
Nominatioune fir Hacking Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office a Microsoft Windows RDP bloufen net ugefrot. E Versuch gouf gemaach VMware Workstation ze hacken, awer et war net erfollegräich.
Wéi d'lescht Joer hunn d'Präiskategorien net Hacks vun der Majoritéit vun Open Source Projeten (nginx, OpenSSL, Apache httpd) enthalen.
Separat kënne mir d'Thema vum Hacking vun den Informatiounssystemer vun engem Tesla Auto notéieren. Et goufe keng Versuche fir Tesla beim Concours ze hacken, trotz dem maximale Präis vun $700 Tausend, awer separat iwwer d'Identifikatioun vun enger DoS Schwachstelle (CVE-2020-10558) am Tesla Model 3, wat et erlaabt, wann Dir eng speziell entworf Säit am agebaute Browser opmaacht, Notifikatioune vum Autopilot auszeschalten an d'Operatioun vu Komponenten wéi z. de Speedometer, Browser, Klimaanlag, Navigatiounssystem, asw.
Source: opennet.ru