dviejų dienų konkursų Pwn2Own 2020, kasmet vykstančių kaip CanSecWest konferencijos dalis, rezultatai. Šiais metais konkursas vyko virtualiai, o atakos buvo demonstruojamos internete. Konkurse buvo pristatytos anksčiau nežinomos Ubuntu Desktop (Linux branduolio), Windows, macOS, Safari, VirtualBox ir Adobe Reader pažeidžiamumo išnaudojimo metodai. Bendra mokėjimų suma buvo 270 tūkstančių dolerių (bendras prizinis fondas daugiau nei 4 milijonus JAV dolerių).
- Vietinis privilegijų padidinimas Ubuntu Desktop, naudojant Linux branduolio pažeidžiamumą, susijusį su neteisingu įvesties verčių patikrinimu (prizas 30 XNUMX USD);
- Išėjimo iš svečių aplinkos „VirtualBox“ ir kodo vykdymo su hipervizoriaus teisėmis demonstravimas, išnaudojant du pažeidžiamumus – galimybę nuskaityti duomenis iš srities, esančios už paskirto buferio ribų, ir klaidą dirbant su neinicijuotais kintamaisiais (prizas 40 tūkst. dolerių). Už konkurso ribų „Zero Day Initiative“ atstovai pademonstravo ir dar vieną „VirtualBox“ įsilaužimą, leidžiantį pasiekti priimančiosios sistemos manipuliacijas svečių aplinkoje;
- „Safari“ įsilaužimas su padidintomis teisėmis iki „macOS“ branduolio lygio ir skaičiuotuvo paleidimas kaip root. Eksploatacijai buvo panaudota 6 klaidų grandinė (prizas 70 tūkst. dolerių);
- Dvi vietinių privilegijų eskalavimo demonstracijos sistemoje „Windows“ išnaudojant pažeidžiamumą, leidžiantį pasiekti jau atlaisvintą atminties sritį (du prizai po 40 tūkst. dolerių);
- Administratoriaus prieiga sistemoje „Windows“ atidarant specialiai sukurtą PDF dokumentą „Adobe Reader“. Ataka apima „Acrobat“ ir „Windows“ branduolio pažeidžiamumą, susijusį su prieiga prie jau atlaisvintų atminties sričių (50 XNUMX USD prizas).
Nominacijos už įsilaužimą „Chrome“, „Firefox“, „Edge“, „Microsoft Hyper-V Client“, „Microsoft Office“ ir „Microsoft Windows RDP“ liko nepateiktos. Buvo bandoma nulaužti VMware Workstation, tačiau tai nepavyko.
Kaip ir praėjusiais metais, apdovanojimų kategorijose nebuvo įsilaužimų į daugumą atvirojo kodo projektų (nginx, OpenSSL, Apache httpd).
Atskirai galime atkreipti dėmesį į Tesla automobilio informacinių sistemų įsilaužimo temą. Nebuvo bandoma nulaužti Tesla konkurse, nepaisant maksimalaus 700 tūkstančių dolerių prizo, bet atskirai apie DoS pažeidžiamumo (CVE-2020-10558) identifikavimą „Tesla Model 3“, kuris leidžia atidarius specialiai sukurtą puslapį integruotoje naršyklėje, išjungti pranešimus iš autopiloto ir sutrikdyti komponentų, pvz. spidometras, naršyklė, oro kondicionierius, navigacijos sistema ir kt.
Šaltinis: opennet.ru