Podsumowano wyniki dwóch dni konkursu Pwn2Own 2024, odbywającego się corocznie w ramach konferencji CanSecWest w Vancouver. Techniki pracy umożliwiające wykorzystanie nieznanych wcześniej luk zostały opracowane dla Ubuntu Desktop, Windows 11, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge i Tesla. W sumie zademonstrowano 23 udane ataki, wykorzystujące 29 nieznanych wcześniej luk.
W atakach wykorzystywano najnowsze stabilne wersje aplikacji, przeglądarek i systemów operacyjnych ze wszystkimi dostępnymi aktualizacjami i w domyślnej konfiguracji. Łączna kwota wypłaconego wynagrodzenia wyniosła 1,132,500 3 2 USD. Za zhakowanie Tesli przyznano dodatkową Teslę Model 3,494,750. Wysokość nagród wypłaconych w trzech ostatnich konkursach Pwn202Own wyniosła XNUMX XNUMX XNUMX dolarów. Zespół z największą liczbą punktów otrzymał XNUMX XNUMX dolarów.
Wykonywane ataki:
- Cztery udane ataki na Ubuntu Desktop, umożliwiające nieuprzywilejowanemu użytkownikowi uzyskanie praw root (jedna nagroda o wartości 20 tys. i 10 tys. dolarów, dwie nagrody po 5 tys. dolarów). Luki są spowodowane warunkami wyścigowymi i przepełnieniami bufora.
- Atak na Firefoksa, który umożliwił ominięcie izolacji sandboksa i wykonanie kodu w systemie podczas otwierania specjalnie zaprojektowanej strony (nagroda 100 tys. dolarów). Podatność spowodowana jest błędem pozwalającym na odczyt i zapis danych w obszarze znajdującym się poza granicami bufora przydzielonego dla obiektu JavaScript, a także możliwością podstawienia procedury obsługi zdarzeń do uprzywilejowanego obiektu JavaScript. Depcząc po piętach programiści z Mozilli niezwłocznie opublikowali aktualizację Firefoksa do wersji 124.0.1, eliminującą zidentyfikowane problemy.
- Cztery ataki na Chrome, które umożliwiły wykonanie kodu w systemie podczas otwarcia specjalnie zaprojektowanej strony (jedna nagroda po 85 i 60 tys. dolarów każda, dwie nagrody po 42.5 tys.). Luki są spowodowane dostępem do pamięci po odczytach wolnych, poza buforem i niepoprawną walidacją danych wejściowych. Trzy exploity są uniwersalne i działają nie tylko w przeglądarce Chrome, ale także w Edge.
- Atak na Apple Safari, który umożliwił wykonanie kodu w systemie podczas otwierania specjalnie zaprojektowanej strony (nagroda w wysokości 60 XNUMX dolarów). Przyczyną luki jest przepełnienie liczby całkowitej.
- Cztery hacki do Oracle VirtualBox, które umożliwiły wyjście z systemu gościa i wykonanie kodu po stronie hosta (jedna nagroda o wartości 90 tys. dolarów i trzy nagrody o wartości 20 tys. dolarów). Ataki przeprowadzono poprzez wykorzystanie luk spowodowanych przepełnieniem bufora, warunkami wyścigowymi i dostępem do pamięci po zwolnieniu.
- Atak na Dockera, który pozwolił na ucieczkę z izolowanego kontenera (nagroda 60 tys. dolarów). Luka wynika z dostępu do pamięci po zwolnieniu.
- Dwa ataki na stację roboczą VMWare, które umożliwiły wylogowanie się z systemu gościa i wykonanie kodu po stronie hosta. W atakach wykorzystano dostęp do pamięci po zwolnieniu, przepełnienie bufora i niezainicjowaną zmienną (opłaty w wysokości 30 130 i XNUMX XNUMX dolarów).
- Pięć ataków na Microsoft Windows 11, które pozwoliły zwiększyć Twoje uprawnienia (trzy bonusy po 15 tysięcy dolarów i jeden bonus po 30 tysięcy i 7500 dolarów każdy). Luki wynikają z wyścigu, przepełnienia liczb całkowitych, nieprawidłowego zliczania referencji i nieprawidłowej weryfikacji danych wejściowych.
- Wykonanie kodu podczas przetwarzania treści w programie Adobe Reader (nagroda 50 tys. dolarów). W ataku wykorzystano lukę umożliwiającą ominięcie ograniczeń API oraz błąd umożliwiający podstawianie poleceń.
- Atak na system informacyjny samochodu Tesla, przeprowadzony poprzez manipulację magistralą CAN BUS i pozwalający na osiągnięcie przekroczenia liczby całkowitej i uzyskanie dostępu do ECU (elektronicznej jednostki sterującej). Nagroda wyniosła 200 tysięcy dolarów i samochód Tesla Model 3.
- Próby włamania się do Microsoft SharePoint i VMware ESXi nie powiodły się.
Dokładne elementy problemu nie zostały jeszcze zgłoszone; zgodnie z warunkami konkursu szczegółowe informacje o wszystkich zademonstrowanych podatnościach typu 0-day zostaną opublikowane dopiero po 90 dniach, które są przekazywane producentom w celu przygotowania aktualizacji eliminujących luki luki w zabezpieczeniach.
Źródło: opennet.ru