Podsumowano wyniki trzech dni konkursu Pwn2Own 2021, odbywającego się corocznie w ramach konferencji CanSecWest. Podobnie jak w zeszłym roku, konkurs odbył się wirtualnie, a ataki demonstrowano w Internecie. Spośród 23 docelowych celów zademonstrowano techniki działania umożliwiające wykorzystanie nieznanych wcześniej luk w zabezpieczeniach Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams i Zoom. We wszystkich przypadkach testowano najnowsze wersje programów, łącznie ze wszystkimi dostępnymi aktualizacjami. Całkowita kwota wypłat wyniosła milion dwieście tysięcy dolarów amerykańskich (całkowity fundusz nagród wyniósł półtora miliona dolarów).
Podczas konkursu podjęto trzy próby wykorzystania luk w Ubuntu Desktop. Pierwsza i druga próba zakończyły się sukcesem, a atakującym udało się wykazać lokalną eskalację uprawnień, wykorzystując nieznane wcześniej luki związane z przepełnieniem bufora i podwójną wolną pamięcią (które elementy problemu nie zostały jeszcze zgłoszone; programiści mają 90 dni na naprawienie błędy przed ujawnieniem danych). Za te luki wypłacono premie w wysokości 30 XNUMX dolarów.
Trzecia próba, podjęta przez inny zespół w kategorii nadużycia uprawnień lokalnych, zakończyła się sukcesem tylko częściowo - exploit zadziałał i umożliwił uzyskanie dostępu do konta root, jednak atak nie został w pełni uznany, ponieważ błąd związany z luką był już znany dla programistów Ubuntu, a aktualizacja z poprawką była w trakcie przygotowywania.
Skuteczny atak zademonstrowano także dla przeglądarek opartych na silniku Chromium – Google Chrome i Microsoft Edge. Za stworzenie exploita umożliwiającego wykonanie kodu podczas otwierania specjalnie zaprojektowanej strony w Chrome i Edge (stworzono jeden uniwersalny exploit dla dwóch przeglądarek) wypłacono nagrodę w wysokości 100 tysięcy dolarów. Publikacja poprawki planowana jest w ciągu najbliższych godzin, na razie wiadomo jedynie, że luka występuje w procesie odpowiedzialnym za przetwarzanie treści internetowych (renderer).
Inne udane ataki:
- 200 tys. dolarów za włamanie do aplikacji Zoom (udało mu się wykonać swój kod poprzez wysłanie wiadomości do innego użytkownika, bez konieczności podejmowania jakichkolwiek działań ze strony odbiorcy). W ataku wykorzystano trzy luki w Zoomie i jedną w systemie operacyjnym Windows.
- 200 tys. dolarów za włamanie do Microsoft Exchange (ominięcie uwierzytelniania i lokalne zwiększenie uprawnień na serwerze w celu uzyskania uprawnień administratora). Kolejny pomyślnie działający exploit został zademonstrowany innemu zespołowi, ale druga nagroda nie została wypłacona, ponieważ te same błędy wykorzystał już pierwszy zespół.
- 200 tys. dolarów za włamanie do Microsoft Teams (wykonanie kodu na serwerze).
- 100 tys. dolarów za wykorzystanie Apple Safari (przepełnienie liczb całkowitych w przeglądarce Safari i przepełnienie bufora w jądrze macOS w celu ominięcia piaskownicy i wykonania kodu na poziomie jądra).
- 140 tys. dolarów za włamanie do Parallels Desktop (wyjście z maszyny wirtualnej i wykonanie kodu na systemie głównym). Atak przeprowadzono poprzez wykorzystanie trzech różnych luk - niezainicjowanego wycieku pamięci, przepełnienia stosu i przepełnienia liczb całkowitych.
- Dwie nagrody po 40 tysięcy dolarów każda za włamanie do Parallels Desktop (błąd logiczny i przepełnienie bufora, które umożliwiło wykonanie kodu w zewnętrznym systemie operacyjnym poprzez działania wewnątrz maszyny wirtualnej).
- Trzy nagrody po 40 tys. dolarów za trzy udane exploity systemu Windows 10 (przepełnienie liczby całkowitej, dostęp do już zwolnionej pamięci oraz stan wyścigu umożliwiający uzyskanie uprawnień SYSTEM).
Podejmowano próby włamania się do Oracle VirtualBox, ale zakończyły się one niepowodzeniem. Nominacje za hackowanie Firefoksa, VMware ESXi, klienta Hyper-V, MS Office 365, MS SharePoint, MS RDP i Adobe Reader pozostały nieodebrane. Nie było też chętnych do zademonstrowania włamania do systemu informatycznego samochodu Tesla, pomimo nagrody w wysokości 600 tys. dolarów plus samochód Tesla Model 3.
Źródło: opennet.ru