Resultatene fra tre dager av Pwn2Own 2022-konkurransen, som arrangeres årlig som en del av CanSecWest-konferansen, er oppsummert. Arbeidsteknikker for å utnytte tidligere ukjente sårbarheter er demonstrert for Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams og Firefox. Totalt 25 vellykkede angrep ble demonstrert, og tre forsøk endte i fiasko. Angrepene brukte de siste stabile utgivelsene av applikasjoner, nettlesere og operativsystemer med alle tilgjengelige oppdateringer og standardkonfigurasjoner. Det totale godtgjørelsesbeløpet var USD 1,155,000 XNUMX XNUMX.
Konkurransen demonstrerte fem vellykkede forsøk på å utnytte tidligere ukjente sårbarheter i Ubuntu Desktop, utført av forskjellige team av deltakere. Én premie på $40 40 ble utbetalt for å demonstrere lokal rettighetsøkning i Ubuntu Desktop ved å utnytte to bufferoverløp og dobbeltfrie problemer. Fire priser, hver verdt $XNUMX XNUMX, ble tildelt for å demonstrere privilegieeskalering gjennom utnyttelse av Use-After-Free-sårbarheter.
De nøyaktige komponentene i problemet er ennå ikke rapportert; i samsvar med konkurransevilkårene vil detaljert informasjon om alle påviste 0-dagers sårbarheter publiseres først etter 90 dager, som gis til produsentene for å forberede oppdateringer som eliminerer sårbarheter.
Andre vellykkede angrep:
- 100 tusen dollar for utvikling av en utnyttelse for Firefox, som tillot, når du åpnet en spesialdesignet side, å omgå sandkasseisolasjon og kjøre kode i systemet.
- $40 XNUMX for å demonstrere en utnyttelse som bruker en bufferoverflyt i Oracle Virtualbox for å logge ut av en gjest.
- 50 tusen dollar for drift av Apple Safari (bufferoverflyt).
- 450 tusen dollar for å hacke Microsoft Teams (ulike team demonstrerte tre hacks med en belønning på 150 tusen for hver).
- 80 tusen dollar (to priser på 40 tusen hver) for å utnytte bufferoverløp og eskalere ens privilegier i Microsoft Windows 11.
- 80 tusen dollar (to priser på 40 tusen hver) for å utnytte en feil i tilgangsverifiseringskoden for å øke ens privilegier i Microsoft Windows 11.
- $40 11 for å utnytte heltallsoverløp for å eskalere privilegier i Microsoft Windows XNUMX.
- 40 tusen dollar for å utnytte en Use-After-Free-sårbarhet i Microsoft Windows 11.
- 75 tusen dollar for å demonstrere et angrep på infotainmentsystemet til en Telsa Model 3. Utnyttelsen brukte feil som førte til bufferoverløp og doble frigjøringer, sammen med en tidligere kjent teknikk for å omgå sandkasseisolasjon.
Separate forsøk ble gjort, men mislyktes, for å hacke Microsoft Windows 11 (6 vellykkede hack og 1 mislykket), Tesla (1 vellykket hack og 1 mislykket) og Microsoft Teams (3 vellykkede hack og 1 mislykket). Det var ingen forespørsler om å demonstrere utnyttelser i Google Chrome i år.
Kilde: opennet.ru