Podsumowano wyniki trzech dni konkursu Pwn2Own 2022, odbywającego się corocznie w ramach konferencji CanSecWest. Zademonstrowano techniki działania umożliwiające wykorzystanie nieznanych wcześniej luk w zabezpieczeniach Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams i Firefox. W sumie zademonstrowano 25 udanych ataków, a trzy próby zakończyły się niepowodzeniem. W atakach wykorzystywano najnowsze stabilne wersje aplikacji, przeglądarek i systemów operacyjnych ze wszystkimi dostępnymi aktualizacjami i domyślnymi konfiguracjami. Łączna kwota wypłaconego wynagrodzenia wyniosła 1,155,000 XNUMX XNUMX USD.
Konkurs pokazał pięć udanych prób wykorzystania nieznanych wcześniej luk w Ubuntu Desktop, podjętych przez różne zespoły uczestników. Wypłacono nagrodę w wysokości 40 40 dolarów za zademonstrowanie lokalnej eskalacji uprawnień w Ubuntu Desktop poprzez wykorzystanie dwóch przepełnień bufora i podwójnych problemów. Przyznano cztery nagrody, każda o wartości XNUMX XNUMX dolarów, za wykazanie eskalacji uprawnień poprzez wykorzystanie luk w zabezpieczeniach typu Use-After-Free.
Dokładne elementy problemu nie zostały jeszcze zgłoszone; zgodnie z warunkami konkursu szczegółowe informacje o wszystkich zademonstrowanych podatnościach typu 0-day zostaną opublikowane dopiero po 90 dniach, które są przekazywane producentom w celu przygotowania aktualizacji eliminujących luki luki w zabezpieczeniach.
Inne udane ataki:
- 100 tysięcy dolarów na opracowanie exploita dla Firefoksa, który pozwalał podczas otwierania specjalnie zaprojektowanej strony ominąć izolację piaskownicy i wykonać kod w systemie.
- 40 XNUMX dolarów za zademonstrowanie exploita wykorzystującego przepełnienie bufora w Oracle Virtualbox w celu wylogowania się z gościa.
- 50 tys. dolarów za obsługę Apple Safari (przepełnienie bufora).
- 450 tys. dolarów za zhakowanie Microsoft Teams (różne zespoły wykazały trzy włamania, za każde z nagrodą po 150 tys.).
- dolarów (dwie nagrody po 80 tys. każda) za wykorzystanie przepełnienia bufora i eskalację uprawnień w systemie Microsoft Windows 40.
- dolarów (dwie nagrody po 80 tys. każda) za wykorzystanie błędu w kodzie weryfikacji dostępu w celu zwiększenia uprawnień w systemie Microsoft Windows 40.
- 40 tys. dolarów za wykorzystanie przepełnienia liczb całkowitych w celu eskalacji uprawnień w systemie Microsoft Windows 11.
- 40 tysięcy dolarów za wykorzystanie luki Use-After-Free w systemie Microsoft Windows 11.
- 75 tysięcy dolarów za zademonstrowanie ataku na system informacyjno-rozrywkowy Telsa Model 3. Exploit wykorzystywał błędy prowadzące do przepełnienia bufora i podwójnych zwolnień, a także znaną wcześniej technikę omijania izolacji piaskownicy.
Podjęto osobne próby włamania się do systemu Microsoft Windows 11 (6 udanych włamań i 1 nieudane), Tesli (1 udane włamanie i 1 nieudane) oraz Microsoft Teams (3 udane włamania i 1 nieudane). W tym roku nie zgłoszono żadnych próśb o zademonstrowanie exploitów w przeglądarce Google Chrome.
Źródło: opennet.ru