D'Resultater vun dräi Deeg vum Pwn2Own 2022 Concours, jäerlech als Deel vun der CanSecWest Konferenz ofgehalen, goufen zesummegefaasst. Aarbechtstechnike fir d'Exploitatioun vun virdrun onbekannte Schwachstelle goufen fir Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams a Firefox demonstréiert. Insgesamt 25 erfollegräich Attacke goufen demonstréiert, an dräi Versuche sinn am Echec opgehalen. D'Attacke benotzt déi lescht stabil Verëffentlechungen vun Applikatiounen, Browser a Betribssystemer mat all verfügbaren Updates a Standardkonfiguratiounen. De Gesamtbetrag vun der bezuelter Remuneratioun war USD 1,155,000.
D'Konkurrenz huet fënnef erfollegräich Versuche bewisen fir virdrun onbekannte Schwachstelle am Ubuntu Desktop auszenotzen, vun verschiddenen Teams vun de Participanten. Ee $40 Präis gouf bezuelt fir lokal Privileg Eskalatioun an Ubuntu Desktop ze demonstréieren andeems Dir zwee Puffer Iwwerschwemmungen an duebel gratis Themen ausnotzt. Véier Auszeechnunge, all Wäert $ 40, goufen ausgezeechent fir Privileg Eskalatioun duerch Ausbeutung vun Use-After-Free Schwachstelle ze demonstréieren.
Déi genee Komponente vum Problem sinn nach net gemellt ginn; am Aklang mat de Conditioune vum Concours, detailléiert Informatioun iwwer all demonstréiert 0-Deeg Schwachstelle gëtt eréischt no 90 Deeg publizéiert, déi den Hiersteller ginn fir Updates ze preparéieren déi d'Eliminatioun vun der Schwachstelle.
Aner erfollegräich Attacken:
- 100 dausend Dollar fir d'Entwécklung vun engem Exploit fir Firefox, deen et erlaabt huet, wann Dir eng speziell entwéckelt Säit opmaacht, d'Sandkëschtisolatioun ëmgoen an de Code am System ausféieren.
- $ 40 fir en Exploit ze demonstréieren deen e Pufferiwwerfluss an Oracle Virtualbox benotzt fir aus engem Gaascht auszeloggen.
- $ 50 dausend fir Apple Safari ze bedreiwen (Puffer Iwwerschwemmung).
- 450 Tausend Dollar fir Microsoft Teams ze hacken (verschidden Teams hunn dräi Hacks bewisen mat enger Belounung vun 150 Tausend fir all).
- 80 dausend Dollar (zwee Auszeechnunge vun all 40 dausend) fir d'Ausbeutung vu Puffer Iwwerfloss an d'Eskalatioun vun de Privilegien a Microsoft Windows 11.
- 80 Tausend Dollar (zwee Auszeechnunge vun all 40 Tausend) fir e Feeler am Zougangsverifikatiounscode auszenotzen fir seng Privilegien a Microsoft ze erhéijen Windows 11.
- $ 40K fir d'Exploitatioun vun ganz Zuelen Iwwerschwemmung fir Privilegien a Microsoft ze eskaléieren Windows 11.
- $40 Tausend fir d'Ausbeutung vun enger Use-After-Free Schwachstelle a Microsoft Windows 11.
- $ 75 dausend fir en Attack op den Infotainmentsystem vun engem Telsa Model 3 ze demonstréieren. D'Exploit huet Bugs benotzt, déi zu Pufferiwwerlafen an Duebelfräie féieren, zesumme mat enger virdru bekannter Technik fir d'Sandkëschtisolatioun ëmzegoen.
Separat Versuche goufen gemaach, awer waren net erfollegräich, Microsoft ze hacken Windows 11 (6 erfollegräich Hacks an 1 net erfollegräich), Tesla (1 erfollegräich Hack an 1 net erfollegräich) a Microsoft Teams (3 erfollegräich Hacks an 1 net erfollegräich). Et waren keng Ufroe fir Exploiten am Google Chrome dëst Joer ze demonstréieren.
Source: opennet.ru