Ubuntu၊ Chrome၊ Safari၊ Parallels နှင့် Microsoft ထုတ်ကုန်များသည် Pwn2Own 2021 ပြိုင်ပွဲတွင် ဟက်ခ်ခံရသည်

CanSecWest ကွန်ဖရင့်၏တစ်စိတ်တစ်ပိုင်းအဖြစ် နှစ်စဉ်ကျင်းပသည့် Pwn2Own 2021 ပြိုင်ပွဲ၏ သုံးရက်ကြာရလဒ်များကို အနှစ်ချုပ်ပြီးပါပြီ။ ယမန်နှစ်ကဲ့သို့ပင် ပြိုင်ပွဲကို လုံးဝနီးပါး ကျင်းပခဲ့ပြီး တိုက်ခိုက်မှုများကို အွန်လိုင်းတွင် ပြသခဲ့သည်။ ပစ်မှတ် ၂၃ ခုတွင်၊ ယခင်က မသိရသေးသော အားနည်းချက်များကို အသုံးချရန် နည်းလမ်းများကို Ubuntu Desktop၊ Windows 23၊ Chrome၊ Safari၊ Parallels Desktop၊ Microsoft Exchange၊ Microsoft Teams နှင့် Zoom အတွက် သရုပ်ပြခဲ့သည်။ အခြေအနေအားလုံးတွင် ရရှိနိုင်သော မွမ်းမံမှုများအပါအဝင် ပရိုဂရမ်များ၏ နောက်ဆုံးဗားရှင်းများကို စမ်းသပ်ခဲ့သည်။ စုစုပေါင်းပေးချေမှုပမာဏမှာ အမေရိကန်ဒေါ်လာ တစ်သန်းနှစ်သိန်း (စုစုပေါင်းဆုငွေမှာ ဒေါ်လာတစ်သန်းခွဲ) ဖြစ်သည်။

ပြိုင်ပွဲတွင် Ubuntu Desktop ရှိ အားနည်းချက်များကို အသုံးချရန် ကြိုးပမ်းမှု သုံးကြိမ် ပြုလုပ်ခဲ့သည်။ ပထမနှင့် ဒုတိယ ကြိုးပမ်းမှုများသည် တရားဝင်ပြီး တိုက်ခိုက်သူများသည် ဒေသဆိုင်ရာ အခွင့်ထူးများ တိုးမြင့်လာမှုကို သရုပ်ပြနိုင်ခဲ့ပြီး buffer overflow နှင့် double free memory နှင့် ပတ်သက်သော ယခင်က မသိရသေးသော အားနည်းချက်များကို အသုံးချခြင်း (ပြဿနာ၏ အစိတ်အပိုင်းများကို အစီရင်ခံခြင်းမရှိသေးဘဲ၊ developer များအား ပြင်ရန် ရက် 90 ပေးထားသည်။ အချက်အလက်မထုတ်ဖော်မီ အမှားအယွင်းများ)။ ဤအားနည်းချက်များအတွက် ဘောနပ်စ်ဒေါ်လာ 30 ပေးချေခဲ့သည်။

ဒေသဆိုင်ရာအခွင့်ထူးအလွဲသုံးစားမှုအမျိုးအစားရှိ အခြားအဖွဲ့မှပြုလုပ်သော တတိယကြိုးပမ်းမှုမှာ တစ်စိတ်တစ်ပိုင်းမျှသာ အောင်မြင်သည် - အသုံးချမှုသည် အလုပ်လုပ်ပြီး အမြစ်ဝင်ရောက်ခွင့်ရရှိစေရန် ပြုလုပ်ထားသော်လည်း အားနည်းချက်နှင့်ပတ်သက်သည့် အမှားအယွင်းကို သိရှိထားပြီးဖြစ်သောကြောင့် တိုက်ခိုက်မှုအား အပြည့်အဝထည့်သွင်းခြင်းမရှိပါ။ Ubuntu developer များထံသို့ ပြင်ဆင်ချက်တစ်ခုနှင့်အတူ အပ်ဒိတ်တစ်ခု ပြင်ဆင်မှုလုပ်ငန်းစဉ်တွင် ရှိနေပါသည်။

Chromium အင်ဂျင် - Google Chrome နှင့် Microsoft Edge ကိုအခြေခံသည့် ဘရောက်ဆာများအတွက် အောင်မြင်သောတိုက်ခိုက်မှုကို သရုပ်ပြခဲ့သည်။ Chrome နှင့် Edge တွင် အထူးဒီဇိုင်းရေးဆွဲထားသော စာမျက်နှာကိုဖွင့်သောအခါတွင် သင့်ကုဒ်ကို execute ပြုလုပ်နိုင်စေမည့် exploit တစ်ခုဖန်တီးရန်အတွက် (ဘရောက်ဆာနှစ်ခုအတွက် universal exploit တစ်ခုကို ဖန်တီးထားသည်)၊ ဆုငွေ ဒေါ်လာ 100 ပေးချေခဲ့ပါသည်။ အဆိုပါပြင်ဆင်ချက်ကို လာမည့်နာရီပိုင်းအတွင်း ထုတ်ဝေရန်စီစဉ်ထားပြီး၊ ယခုအချိန်အထိ သိထားသမျှမှာ အားနည်းချက်သည် ဝဘ်အကြောင်းအရာ (တင်ဆက်သူ) လုပ်ဆောင်ခြင်းအတွက် တာဝန်ရှိသည့် လုပ်ငန်းစဉ်တွင် အားနည်းချက်ရှိနေပါသည်။

အခြားအောင်မြင်သောတိုက်ခိုက်မှုများ

• Zoom အပလီကေးရှင်းကို ဟက်ကာအတွက် ဒေါ်လာ 200 (လက်ခံသူဘက်မှ မည်သည့်လုပ်ဆောင်ချက်မျှ မလိုအပ်ဘဲ အခြားအသုံးပြုသူတစ်ဦးထံသို့ မက်ဆေ့ခ်ျပေးပို့ခြင်းဖြင့် ၎င်း၏ကုဒ်ကို စီမံဆောင်ရွက်နိုင်သည်)။ တိုက်ခိုက်မှုသည် Zoom တွင် အားနည်းချက်သုံးခုနှင့် Windows လည်ပတ်မှုစနစ်တွင် တစ်ခုအသုံးပြုခဲ့သည်။
• Microsoft Exchange ကို ဟက်ကာ $200 (စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ကျော်လွှားပြီး စီမံခန့်ခွဲသူအခွင့်အရေးများရရှိရန် ဆာဗာပေါ်ရှိ အခွင့်ထူးများကို မြှင့်တင်ခြင်း)။ တူညီသော အမှားအယွင်းများကို ပထမအသင်းမှ အသုံးပြုထားပြီးဖြစ်သောကြောင့် ဒုတိယဆုအား အခြားအဖွဲ့တစ်ဖွဲ့အား သရုပ်ပြပြီး အောင်မြင်စွာလုပ်ဆောင်ခြင်းအား သရုပ်ပြခဲ့သည်။
• Microsoft Teams (ဆာဗာပေါ်တွင်ကုဒ်ကိုလုပ်ဆောင်ခြင်း) ကိုဟက်ကာအတွက်ဒေါ်လာ ၂၀၀,၀၀၀။
• Apple Safari ကို အသုံးချခြင်းအတွက် ဒေါ်လာ 100 (Safari တွင် ကိန်းပြည့်ပြည့်လျှံနေပြီး sandbox ကိုကျော်ဖြတ်ပြီး kernel အဆင့်တွင် ကုဒ်ကိုလုပ်ဆောင်ရန် macOS kernel တွင် ကြားခံအလျှံများ)။
• Parallels Desktop ကို ဟက်ကာ $140 ( virtual machine မှထွက်ပြီး ပင်မစနစ်ရှိ ကုဒ်ကိုလုပ်ဆောင်ခြင်း)။ တိုက်ခိုက်မှုသည် မတူညီသော အားနည်းချက် သုံးခုဖြစ်သည့် အသုံးချမွမ်းမံထားသော မမ်မိုရီယိုစိမ့်မှု၊ stack overflow နှင့် integer overflow တို့မှတဆင့် လုပ်ဆောင်ခဲ့ခြင်းဖြစ်သည်။
• Parallels Desktop ကို ဟက်ကာအတွက် ဆုနှစ်ခုစီ ဒေါ်လာ 40 (ယုတ္တိအမှားတစ်ခုနှင့် ပြင်ပ OS တွင် ကုဒ်ကို ပြင်ပ OS တွင် လုပ်ဆောင်နိုင်စေမည့် ကုဒ်ကို virtual machine အတွင်းရှိ လုပ်ဆောင်ချက်များမှတဆင့် လုပ်ဆောင်နိုင်သည်)။
• Windows 40 ၏ အောင်မြင်သော အသုံးချမှု သုံးခုအတွက် ဒေါ်လာ 10 ဆုသုံးဆု (ကိန်းပြည့်ပြည့်လျှံမှု၊ လွတ်ပြီးသော မမ်မိုရီကို အသုံးပြုခွင့်နှင့် SYSTEM အခွင့်ထူးများကို ရယူခွင့်ပြုသည့် ပြိုင်ပွဲအခြေအနေ)။

Oracle VirtualBox ကို hack ရန် ကြိုးပမ်းခဲ့သော်လည်း မအောင်မြင်ခဲ့ပါ။ Firefox၊ VMware ESXi၊ Hyper-V ကလိုင်းယင့်၊ MS Office 365၊ MS SharePoint၊ MS RDP နှင့် Adobe Reader တို့ကို ဟက်ကာများအတွက် အဆိုတင်သွင်းမှုများကို အရေးဆိုထားခြင်းမရှိပါ။ Tesla ကားတစ်စီး၏ သတင်းအချက်အလက်စနစ်အား ဟက်ကာပြုလုပ်ခြင်းအား သရုပ်ပြရန် ဆန္ဒမရှိသော်လည်း ဆုငွေ ဒေါ်လာ 600 နှင့် Tesla Model 3 ကားတစ်စီးအား ပေးဆောင်ရန် ဆန္ဒမရှိပေ။

source: opennet.ru