ProHoster > blog > internetnieuws > Pwn2Own 2020 toont Ubuntu-, Windows-, macOS- en VirtualBox-hacks

Pwn2Own 2020 toont Ubuntu-, Windows-, macOS- en VirtualBox-hacks

In de steek gelaten De resultaten van de tweedaagse Pwn2Own 2020-competitie, die jaarlijks wordt gehouden als onderdeel van de CanSecWest-conferentie. Dit jaar vond de competitie virtueel plaats en werden de aanvallen online gedemonstreerd. De competitie presenteerde werkende technieken voor het exploiteren van voorheen onbekende kwetsbaarheden in Ubuntu Desktop (de Linux-kernel), Windows, macOS, Safari, VirtualBox en Adobe Reader. Het totale prijzengeld bedroeg $ 270. samengesteld meer dan 4 miljoen Amerikaanse dollars).

  • Lokale privilege-escalatie in Ubuntu Desktop via misbruik van een kwetsbaarheid in de Linux-kernel met betrekking tot onjuiste validatie van invoerwaarden (prijs: $ 30);
  • Demonstratie van het verlaten van de gastomgeving in VirtualBox en het uitvoeren van code met hypervisorrechten, waarbij twee kwetsbaarheden werden uitgebuit: de mogelijkheid om gegevens te lezen uit een gebied buiten de toegewezen buffer en een fout bij het werken met niet-geïnitialiseerde variabelen (prijs: $ 40). Buiten de wedstrijd demonstreerden vertegenwoordigers van het Zero Day Initiative ook een andere hack van VirtualBox, waarmee toegang tot het hostsysteem mogelijk werd via manipulaties in de gastomgeving;


    Speel video

  • Safari-hack met privilege-escalatie naar macOS-kernelniveau en het starten van de rekenmachine met root-rechten. Er werd gebruik gemaakt van een keten van 6 fouten voor de exploitatie (prijs $ 70);
  • Twee demonstraties van lokale privilege-escalatie in Windows door misbruik te maken van kwetsbaarheden die toegang geven tot reeds vrijgegeven geheugen (twee prijzen van $ 40);
  • Beheerderstoegang tot Windows verkrijgen door een speciaal geformatteerd PDF-document te openen in Adobe Reader. De aanval maakt gebruik van kwetsbaarheden in Acrobat en de Windows-kernel die verband houden met de toegang tot reeds vrijgegeven geheugengebieden (prijs: $ 50).

Nominaties voor het hacken van Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office en Microsoft Windows RDP bleven onopgemerkt. Er is een poging gedaan om VMware Workstation te hacken, maar dit is niet gelukt.
Net als vorig jaar waren er bij de nominaties voor de prijs geen hacks van de meeste open source-projecten (nginx, OpenSSL, Apache httpd).

Het hacken van Tesla's informatiesystemen kan apart worden besproken. Er werden geen pogingen gedaan om Tesla te hacken tijdens de wedstrijd, ondanks de maximale prijs van $ 700, maar afzonderlijk informatie verscheen over de detectie van een DoS-kwetsbaarheid (CVE-2020-10558) in Tesla Model 3, waarmee bij het openen van een speciaal ontworpen pagina in de ingebouwde browser meldingen van de automatische piloot kunnen worden uitgeschakeld en de werking van componenten zoals de snelheidsmeter, browser, airconditioning, navigatiesysteem, etc. kan worden verstoord.

Speel video

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers 🔥 Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster