Susumuoti trijų dienų konkurso Pwn2Own 2021, kasmet vykstančio CanSecWest konferencijoje, rezultatai. Kaip ir pernai, varžybos vyko virtualiai, o atakos buvo demonstruojamos internete. Iš 23 tikslinių taikinių buvo pademonstruoti darbo metodai, skirti panaudoti anksčiau nežinomus pažeidžiamumus, skirtus Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams ir Zoom. Visais atvejais buvo išbandytos naujausios programų versijos, įskaitant visus galimus atnaujinimus. Bendra mokėjimų suma buvo vienas milijonas du šimtai tūkstančių JAV dolerių (bendras prizinis fondas – pusantro milijono dolerių).
Konkurse buvo trys bandymai išnaudoti Ubuntu Desktop pažeidžiamumą. Pirmasis ir antrasis bandymai buvo pagrįsti, o užpuolikai sugebėjo pademonstruoti vietinį privilegijų eskalavimą, išnaudodami anksčiau nežinomus pažeidžiamumus, susijusius su buferio perpildymu ir dviguba laisvąja atmintimi (apie kuriuos problemos komponentus dar nebuvo pranešta; kūrėjams suteikiama 90 dienų juos ištaisyti). klaidų prieš atskleidžiant duomenis). Už šiuos pažeidžiamumus buvo sumokėtos 30 XNUMX USD premijos.
Trečiasis bandymas, kurį atliko kita vietinių privilegijų piktnaudžiavimo kategorija, buvo sėkmingas tik iš dalies – išnaudojimas veikė ir leido įgyti root prieigą, tačiau ataka nebuvo visiškai įskaityta, nes su pažeidžiamumu susijusi klaida jau buvo žinoma. Ubuntu kūrėjams, o atnaujinimas su pataisymu buvo ruošiamas.
Sėkminga ataka buvo pademonstruota ir naršyklėms, pagrįstoms Chromium varikliu – Google Chrome ir Microsoft Edge. Už išnaudojimo, leidžiančio vykdyti savo kodą, sukūrimą atidarant specialiai sukurtą puslapį „Chrome“ ir „Edge“ (sukurtas vienas universalus išnaudojimas dviem naršyklėms), buvo sumokėtas 100 tūkstančių dolerių prizas. Pataisą planuojama paskelbti artimiausiomis valandomis, kol kas žinoma tik tiek, kad pažeidžiamumas yra procese, atsakingame už žiniatinklio turinio apdorojimą (pateikėjas).
Kitos sėkmingos atakos:
- 200 tūkstančių dolerių už įsilaužimą į Zoom programą (sugebėjo įvykdyti savo kodą išsiuntus žinutę kitam vartotojui, nereikalaujant jokių gavėjo veiksmų). Atakoje buvo panaudoti trys „Zoom“ ir vienas „Windows“ operacinės sistemos pažeidžiamumas.
- 200 tūkst. USD už įsilaužimą į „Microsoft Exchange“ (apeinant autentifikavimą ir lokaliai padidintas privilegijas serveryje, siekiant įgyti administratoriaus teises). Kitas sėkmingai veikiantis žygdarbis buvo pademonstruotas kitai komandai, tačiau antrasis prizas nebuvo išmokėtas, nes tokias pačias klaidas jau panaudojo pirmoji komanda.
- $200 tūkstančių dolerių už įsilaužimą į Microsoft Teams (kodo vykdymą serveryje).
- 100 tūkstančių dolerių už Apple Safari išnaudojimą (sveiko skaičiaus perpildymas Safari ir buferio perpildymas MacOS branduolyje, siekiant apeiti smėlio dėžę ir vykdyti kodą branduolio lygiu).
- 140 tūkstančių dolerių už įsilaužimą į Parallels Desktop (išėjimas iš virtualios mašinos ir kodo vykdymas pagrindinėje sistemoje). Ataka buvo įvykdyta išnaudojant tris skirtingus pažeidžiamumus – neinicializuotą atminties nutekėjimą, dėklo perpildymą ir sveikųjų skaičių perpildymą.
- Du apdovanojimai po 40 tūkstančių dolerių už įsilaužimą į Parallels Desktop (loginė klaida ir buferio perpildymas, leidžiantis kodą vykdyti išorinėje OS atliekant veiksmus virtualioje mašinoje).
- Trys 40 tūkstančių dolerių apdovanojimai už tris sėkmingus „Windows 10“ išnaudojimus (sveiko skaičiaus perpildymas, prieiga prie jau atlaisvintos atminties ir lenktynių sąlyga, leidžianti gauti SISTEMOS privilegijas).
Buvo bandoma nulaužti „Oracle VirtualBox“, bet nesėkmingai. Nominacijos už įsilaužimą į „Firefox“, „VMware ESXi“, „Hyper-V“ klientą, „MS Office 365“, „MS SharePoint“, „MS RDP“ ir „Adobe Reader“ liko nepateiktos. Taip pat nebuvo norinčių pademonstruoti „Tesla“ automobilio informacinės sistemos įsilaužimo, nepaisant 600 tūkstančių dolerių prizo plius „Tesla Model 3“ automobilio.
Šaltinis: opennet.ru