De resultaten van de driedaagse Pwn2Own 2021-competitie, die jaarlijks wordt gehouden als onderdeel van de CanSecWest-conferentie, zijn bekendgemaakt. Net als vorig jaar vond de competitie virtueel plaats en werden aanvallen online gedemonstreerd. Werkende technieken voor het exploiteren van voorheen onbekende kwetsbaarheden werden gedemonstreerd voor 23 aangewezen doelwitten. Ubuntu Desktop Windows 10Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams en Zoom werden getest. In alle gevallen werden de nieuwste versies van de programma's, inclusief alle beschikbare updates, gebruikt. Het totale uitbetaalde bedrag was 1,2 miljoen Amerikaanse dollar (de totale prijzenpot bedroeg 1,5 miljoen dollar).
Tijdens de wedstrijd werden drie pogingen gedaan om kwetsbaarheden te misbruiken. Ubuntu Desktop. De eerste en tweede poging waren succesvol en de aanvallers demonstreerden lokale privilege-escalatie door gebruik te maken van voorheen onbekende kwetsbaarheden met betrekking tot buffer-overflows en dubbele vrijgave (de specifieke componenten die door de problemen zijn getroffen, zijn nog niet bekendgemaakt; ontwikkelaars hebben 90 dagen de tijd om de bugs te verhelpen voordat de details openbaar worden gemaakt). Er werd een beloning van $30 uitbetaald voor deze kwetsbaarheden.
Een derde poging door een ander team in de categorie lokale privilege-escalatie was slechts gedeeltelijk succesvol: de exploit werkte en gaf root-toegang, maar de aanval werd niet volledig erkend omdat de kwetsbaarheid al bekend was bij de ontwikkelaars. Ubuntu En er werd gewerkt aan een update met een oplossing.
Er werd ook een succesvolle aanval gedemonstreerd voor browsers gebaseerd op de Chromium-engine: Google Chrome en Microsoft Edge. Voor het maken van een exploit waarmee u uw code kunt uitvoeren bij het openen van een speciaal ontworpen pagina in Chrome en Edge (er is één universele exploit gemaakt voor twee browsers), werd een prijs van 100 dollar betaald. De oplossing zal naar verwachting de komende uren worden gepubliceerd, tot nu toe is het enige dat bekend is dat de kwetsbaarheid aanwezig is in het proces dat verantwoordelijk is voor het verwerken van webinhoud (renderer).
Andere succesvolle aanvallen:
- $200 voor het hacken van de Zoom-app (de aanvaller slaagde erin zijn code uit te voeren door een bericht naar een andere gebruiker te sturen, zonder dat de ontvanger enige actie hoefde te ondernemen). De aanval maakte gebruik van drie kwetsbaarheden in Zoom en één in het besturingssysteem. Windows.
- $200 voor het hacken van Microsoft Exchange (het omzeilen van authenticatie en lokale privilege-escalatie). server (om beheerdersrechten te verkrijgen). Een ander team demonstreerde een andere succesvolle exploit, maar de tweede prijs werd niet uitbetaald omdat dezelfde bugs al door het eerste team waren misbruikt.
- $200 boete voor het hacken van Microsoft Teams (het uitvoeren van code op server).
- $100 voor het misbruiken van Apple Safari (integer-overflow in Safari en kernel-buffer-overflow). macOS (om de sandbox te omzeilen en code op kernelniveau uit te voeren).
- $ 140 voor het hacken van Parallels Desktop (het afsluiten van de virtuele machine en het uitvoeren van code op het hoofdsysteem). De aanval werd uitgevoerd door gebruik te maken van drie verschillende kwetsbaarheden: niet-geïnitialiseerd geheugenlek, stack-overflow en integer-overflow.
- Twee beloningen van elk 40 dollar voor het hacken van Parallels Desktop (een logische fout en een bufferoverflow waardoor code in een extern besturingssysteem kon worden uitgevoerd via acties in een virtuele machine).
- Drie prijzen van 40 dollar voor drie succesvolle oplichtingspraktijken. Windows 10 (integer-overflow, toegang tot vrijgegeven geheugen en raceconditie waardoor SYSTEM-privileges kunnen worden verkregen).
Er zijn pogingen ondernomen, maar deze waren niet succesvol, om Oracle VirtualBox te hacken. Nominaties voor het hacken van Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP en Adobe Reader bleven niet geclaimd. Er was ook niemand bereid om het hacken van het informatiesysteem van een Tesla-auto aan te tonen, ondanks de prijs van 600 duizend dollar plus een Tesla Model 3-auto.
Bron: opennet.ru
