Os resultados da competição Pwn2Own 2020, com duração de dois dias e realizada anualmente como parte da conferência CanSecWest, foram divulgados. Este ano, a competição foi realizada virtualmente e os ataques foram demonstrados online. A competição apresentou técnicas funcionais para explorar vulnerabilidades até então desconhecidas no Ubuntu Desktop (o kernel do Linux), Windows, macOS, Safari, VirtualBox e Adobe Reader. O valor total dos prêmios foi de US$ 270. mais de 4 milhões de dólares americanos).
- Escalada de privilégios local no Ubuntu Desktop explorando uma vulnerabilidade do kernel do Linux relacionada à validação incorreta de entrada (prêmio de US$ 30);
- Uma demonstração de como escapar do ambiente convidado no VirtualBox e executar código com privilégios de hipervisor, explorando duas vulnerabilidades: a capacidade de ler dados de um buffer fora dos limites e um erro ao lidar com variáveis não inicializadas (prêmio: US$ 40). Fora da competição, representantes da Zero Day Initiative também demonstraram outro ataque ao VirtualBox que permite o acesso ao sistema host por meio da manipulação do ambiente convidado.
- Ataque ao Safari, elevando privilégios ao kernel do macOS e executando o aplicativo Calculadora com privilégios de root. Uma cadeia de seis bugs foi explorada (prêmio: US$ 70.000);
- Duas demonstrações de escalonamento de privilégios locais no Windows por meio da exploração de vulnerabilidades que levam ao acesso à memória já liberada (dois prêmios de US$ 40);
- Obtenção de acesso administrativo ao Windows através da abertura de um documento PDF especialmente criado no Adobe Reader. O ataque explorou vulnerabilidades no Acrobat e no kernel do Windows relacionadas ao acesso a áreas de memória previamente liberadas (prêmio: US$ 50).
As indicações para invadir o Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office e Microsoft Windows RDP permaneceram sem reivindicar. Uma tentativa de invadir o VMware Workstation foi feita, mas sem sucesso.
Tal como no ano anterior, as nomeações para o prémio não incluíram alterações à maioria dos projetos de código aberto (nginx, OpenSSL, Apache httpd).
O tema da invasão dos sistemas de informação da Tesla merece uma menção especial. Nenhuma tentativa foi feita para invadir os Teslas durante a competição, apesar do prêmio máximo de US$ 700, mas Uma vulnerabilidade de negação de serviço (DoS) (CVE-2020-10558) foi identificada no Tesla Model 3. Essa vulnerabilidade, quando explorada no navegador integrado, pode desativar as notificações do Autopilot e interromper o funcionamento de componentes como velocímetro, navegador, ar-condicionado, sistema de navegação e outros.
Fonte: opennet.ru
