Paskelbti trijų dienų „Pwn2Own 2021“ konkurso, kasmet rengiamo kaip „CanSecWest“ konferencijos dalis, rezultatai. Kaip ir ankstesniais metais, konkursas vyko virtualiai, o atakos buvo demonstruojamos internetu. Buvo pademonstruoti veikimo metodai, kaip išnaudoti anksčiau nežinomus pažeidžiamumus 23 numatytiems taikiniams. Ubuntu Darbalaukis, Windows 10, „Chrome“, „Safari“, „Parallels Desktop“, „Microsoft Exchange“, „Microsoft Teams“ ir „Zoom“. Visais atvejais buvo išbandytos naujausios programų versijos, įskaitant visus galimus atnaujinimus. Bendras laimėjimas siekė vieną milijoną dviejų šimtų tūkstančių JAV dolerių (bendras prizinis fondas buvo pusantro milijono dolerių).
Varžybų metu buvo atlikti trys bandymai išnaudoti pažeidžiamumus. Ubuntu Darbalaukis. Pirmas ir antras bandymai buvo sėkmingi, o užpuolikai pademonstravo vietinių privilegijų eskalavimą, išnaudodami anksčiau nežinomus pažeidžiamumus, susijusius su buferio perpildymu ir dvigubu išlaisvinimu (konkretūs komponentai, kuriuos paveikė šios problemos, dar neatskleista; kūrėjai turi 90 dienų ištaisyti klaidas, prieš atskleisdami išsamią informaciją). Už šiuos pažeidžiamumus buvo sumokėta 30 000 USD premija.
Trečias kitos komandos bandymas vietinių privilegijų eskalavimo kategorijoje buvo tik iš dalies sėkmingas – spragų išnaudojimas suveikė ir suteikė root prieigą, tačiau ataka nebuvo visiškai įskaityta, nes su pažeidžiamumu susijusi klaida kūrėjams jau buvo žinoma. Ubuntu ir buvo ruošiamas atnaujinimas su pataisa.
Sėkminga ataka buvo pademonstruota ir naršyklėms, pagrįstoms Chromium varikliu – Google Chrome ir Microsoft Edge. Už išnaudojimo, leidžiančio vykdyti savo kodą, sukūrimą atidarant specialiai sukurtą puslapį „Chrome“ ir „Edge“ (sukurtas vienas universalus išnaudojimas dviem naršyklėms), buvo sumokėtas 100 tūkstančių dolerių prizas. Pataisą planuojama paskelbti artimiausiomis valandomis, kol kas žinoma tik tiek, kad pažeidžiamumas yra procese, atsakingame už žiniatinklio turinio apdorojimą (pateikėjas).
Kitos sėkmingos atakos:
- 200 000 USD už „Zoom“ programėlės įsilaužimą (užpuolikui pavyko vykdyti savo kodą išsiųsiant pranešimą kitam vartotojui, nereikalaujant, kad gavėjas atliktų jokių veiksmų). Ataka išnaudojo tris „Zoom“ ir vieną operacinės sistemos pažeidžiamumą. Windows.
- 200 000 USD už „Microsoft Exchange“ įsilaužimą (apeinant autentifikavimą ir vietinių privilegijų eskalavimą) serveris (kad gautų administratoriaus teises). Kita komanda pademonstravo kitą sėkmingai veikiantį spragą, bet antrasis prizas nebuvo išmokėtas, nes tas pačias klaidas jau buvo išnaudojusi pirmoji komanda.
- 200 000 USD už „Microsoft Teams“ įsilaužimą (kodo vykdymą serveris).
- 100 000 USD už „Apple Safari“ klaidų išnaudojimą (sveikųjų skaičių perpildymas „Safari“ naršyklėje ir branduolio buferio perpildymas) macOS apeiti smėlio dėžę ir vykdyti kodą branduolio lygmenyje).
- 140 tūkstančių dolerių už įsilaužimą į Parallels Desktop (išėjimas iš virtualios mašinos ir kodo vykdymas pagrindinėje sistemoje). Ataka buvo įvykdyta išnaudojant tris skirtingus pažeidžiamumus – neinicializuotą atminties nutekėjimą, dėklo perpildymą ir sveikųjų skaičių perpildymą.
- Du apdovanojimai po 40 tūkstančių dolerių už įsilaužimą į Parallels Desktop (loginė klaida ir buferio perpildymas, leidžiantis kodą vykdyti išorinėje OS atliekant veiksmus virtualioje mašinoje).
- Trys prizai po 40 tūkstančių dolerių už tris sėkmingus panaudojimus Windows 10 (sveikojo skaičiaus perpildymas, prieiga prie atlaisvintos atminties ir lenktynių sąlyga, leidžianti gauti SISTEMOS privilegijas).
Buvo bandoma nulaužti „Oracle VirtualBox“, bet nesėkmingai. Nominacijos už įsilaužimą į „Firefox“, „VMware ESXi“, „Hyper-V“ klientą, „MS Office 365“, „MS SharePoint“, „MS RDP“ ir „Adobe Reader“ liko nepateiktos. Taip pat nebuvo norinčių pademonstruoti „Tesla“ automobilio informacinės sistemos įsilaužimo, nepaisant 600 tūkstančių dolerių prizo plius „Tesla Model 3“ automobilio.
Šaltinis: opennet.ru
