Resultatene fra tre dager av Pwn2Own 2021-konkurransen, som arrangeres årlig som en del av CanSecWest-konferansen, er oppsummert. Som i fjor ble konkurransen avholdt virtuelt og angrepene ble demonstrert på nett. Av de 23 målrettede målene ble arbeidsteknikker for å utnytte tidligere ukjente sårbarheter demonstrert for Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams og Zoom. I alle tilfeller ble de siste versjonene av programmene testet, inkludert alle tilgjengelige oppdateringer. Det totale beløpet for betalinger var én million to hundre tusen amerikanske dollar (det totale premiefondet var én og en halv million dollar).
Under konkurransen ble det gjort tre forsøk på å utnytte sårbarheter i Ubuntu Desktop. Det første og andre forsøket var gyldige, og angriperne var i stand til å demonstrere lokal eskalering av privilegier ved å utnytte tidligere ukjente sårbarheter knyttet til bufferoverflyt og dobbelt ledig minne (hvilke komponenter av problemet er ennå ikke rapportert; utviklere får 90 dager på seg til å rette opp feil før avsløring av data). Bonuser på $30 XNUMX ble betalt for disse sårbarhetene.
Det tredje forsøket, gjort av et annet team i kategorien lokale privilegiemisbruk, var bare delvis vellykket - utnyttelsen fungerte og gjorde det mulig å få root-tilgang, men angrepet ble ikke fullt ut kreditert, siden feilen knyttet til sårbarheten allerede var kjent til Ubuntu-utviklerne og en oppdatering med en rettelse var i ferd med å forberedes.
Et vellykket angrep ble også demonstrert for nettlesere basert på Chromium-motoren – Google Chrome og Microsoft Edge. For å lage en utnyttelse som lar deg utføre koden din når du åpner en spesialdesignet side i Chrome og Edge (en universell utnyttelse ble opprettet for to nettlesere), ble en premie på 100 tusen dollar betalt. Reparasjonen er planlagt publisert i løpet av de kommende timene, så langt er alt som er kjent at sårbarheten er tilstede i prosessen som er ansvarlig for behandling av webinnhold (renderer).
Andre vellykkede angrep:
- 200 tusen dollar for hacking av Zoom-applikasjonen (klarte å utføre koden hans ved å sende en melding til en annen bruker, uten behov for noen handling fra mottakerens side). Angrepet brukte tre sårbarheter i Zoom og en i Windows-operativsystemet.
- $200 tusen for hacking av Microsoft Exchange (omgå autentisering og lokalt eskalerende rettigheter på serveren for å få administratorrettigheter). En annen vellykket utnyttelse ble demonstrert for et annet lag, men andrepremien ble ikke utbetalt, siden de samme feilene allerede hadde blitt brukt av det første laget.
- $200 tusen for hacking av Microsoft Teams (utføring av kode på serveren).
- 100 tusen dollar for å utnytte Apple Safari (heltallsoverløp i Safari og bufferoverløp i macOS-kjernen for å omgå sandkasse og kjøre kode på kjernenivå).
- $140 tusen for hacking av Parallels Desktop (avslutt den virtuelle maskinen og utføring av kode på hovedsystemet). Angrepet ble utført gjennom utnyttelse av tre forskjellige sårbarheter - uinitialisert minnelekkasje, stackoverflyt og heltallsoverflyt.
- To priser på 40 tusen dollar hver for hacking av Parallels Desktop (en logisk feil og et bufferoverløp som gjorde at kode kunne kjøres i et eksternt operativsystem gjennom handlinger inne i en virtuell maskin).
- Tre priser på 40 tusen dollar for tre vellykkede utnyttelser av Windows 10 (heltallsoverflyt, tilgang til allerede frigjort minne og en løpstilstand som gjorde det mulig å oppnå SYSTEM-privilegier).
Det ble gjort forsøk, men mislyktes, for å hacke Oracle VirtualBox. Nominasjoner for hacking av Firefox, VMware ESXi, Hyper-V-klient, MS Office 365, MS SharePoint, MS RDP og Adobe Reader forble ikke gjort krav på. Det var heller ingen som var villig til å demonstrere hackingen av informasjonssystemet til en Tesla-bil, til tross for premien på 600 tusen dollar pluss en Tesla Model 3-bil.
Kilde: opennet.ru