resultados de dois dias de competições Pwn2Own 2020, realizadas anualmente como parte da conferência CanSecWest. Este ano a competição foi realizada virtualmente e os ataques foram demonstrados online. A competição apresentou técnicas de trabalho para explorar vulnerabilidades até então desconhecidas no Ubuntu Desktop (kernel Linux), Windows, macOS, Safari, VirtualBox e Adobe Reader. O valor total dos pagamentos foi de 270 mil dólares (fundo total de prêmios mais de 4 milhões de dólares americanos).
- Escalonamento local de privilégios no Ubuntu Desktop explorando uma vulnerabilidade no kernel Linux associada à verificação incorreta de valores de entrada (prêmio US$ 30);
- Demonstração de saída do ambiente convidado no VirtualBox e execução de código com direitos de hipervisor, explorando duas vulnerabilidades - capacidade de ler dados de uma área fora do buffer alocado e erro ao trabalhar com variáveis não inicializadas (prêmio de 40 mil dólares). Fora da competição, representantes da Zero Day Initiative também demonstraram outro hack do VirtualBox, que permite acesso ao sistema host por meio de manipulações no ambiente convidado;
- Hackeando o Safari com privilégios elevados para o nível do kernel do macOS e executando a calculadora como root. Para exploração foi utilizada uma cadeia de 6 erros (prêmio 70 mil dólares);
- Duas demonstrações de escalonamento de privilégios locais em Windows através da exploração de vulnerabilidades que levam ao acesso a uma área de memória já libertada (dois prémios de 40 mil dólares cada);
- Obter acesso de administrador no Windows ao abrir um documento PDF especialmente projetado no Adobe Reader. O ataque envolve vulnerabilidades no Acrobat e no kernel do Windows relacionadas ao acesso a áreas de memória já liberadas (prêmio de US$ 50).
As indicações para hackear Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office e Microsoft Windows RDP permaneceram não reclamadas. Foi feita uma tentativa de hackear o VMware Workstation, mas sem sucesso.
Como no ano passado, as categorias de prêmios não incluíram hacks da maioria dos projetos de código aberto (nginx, OpenSSL, Apache httpd).
Separadamente, podemos observar o tópico de hackear os sistemas de informação de um carro Tesla. Não houve tentativas de hackear Tesla na competição, apesar do prêmio máximo de US$ 700 mil, mas separadamente sobre a identificação de uma vulnerabilidade DoS (CVE-2020-10558) no Tesla Model 3, que permite, ao abrir uma página especialmente projetada no navegador integrado, desabilitar notificações do piloto automático e interromper o funcionamento de componentes como como o velocímetro, navegador, ar condicionado, sistema de navegação, etc.
Fonte: opennet.ru