Os resultados de três dias da competição Pwn2Own 2021, realizada anualmente como parte da conferência CanSecWest, foram resumidos. Tal como no ano passado, a competição foi realizada virtualmente e os ataques foram demonstrados online. Dos 23 alvos visados, foram demonstradas técnicas de trabalho para explorar vulnerabilidades anteriormente desconhecidas para Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams e Zoom. Em todos os casos, foram testadas as versões mais recentes dos programas, incluindo todas as atualizações disponíveis. O valor total dos pagamentos foi de um milhão e duzentos mil dólares americanos (o fundo total de prêmios foi de um milhão e meio de dólares).
Na competição, foram feitas três tentativas de explorar vulnerabilidades no Ubuntu Desktop. A primeira e a segunda tentativas foram válidas e os invasores conseguiram demonstrar o escalonamento local de privilégios explorando vulnerabilidades anteriormente desconhecidas relacionadas ao buffer overflow e à dupla memória livre (cujos componentes do problema ainda não foram relatados; os desenvolvedores têm 90 dias para corrigir erros antes de divulgar os dados). Bônus de US$ 30 foram pagos por essas vulnerabilidades.
A terceira tentativa, feita por outra equipe na categoria de abuso de privilégio local, teve sucesso apenas parcial - o exploit funcionou e possibilitou o acesso root, mas o ataque não foi totalmente creditado, pois o erro associado à vulnerabilidade já era conhecido para os desenvolvedores do Ubuntu e uma atualização com correção estava em processo de preparação.
Um ataque bem-sucedido também foi demonstrado para navegadores baseados no mecanismo Chromium – Google Chrome e Microsoft Edge. Para criar um exploit que permite executar seu código ao abrir uma página especialmente projetada no Chrome e Edge (um exploit universal foi criado para dois navegadores), foi pago um prêmio de 100 mil dólares. A correção está prevista para ser publicada nas próximas horas, até o momento tudo o que se sabe é que a vulnerabilidade está presente no processo responsável pelo processamento do conteúdo web (renderizador).
Outros ataques bem-sucedidos:
- US$ 200 mil por hackear o aplicativo Zoom (conseguiu executar seu código enviando uma mensagem para outro usuário, sem a necessidade de qualquer ação por parte do destinatário). O ataque utilizou três vulnerabilidades no Zoom e uma no sistema operacional Windows.
- US$ 200 mil por hackear o Microsoft Exchange (ignorando a autenticação e aumentando localmente os privilégios no servidor para obter direitos de administrador). Outro exploit funcionando com sucesso foi demonstrado para outra equipe, mas o segundo prêmio não foi pago, pois os mesmos erros já haviam sido utilizados pela primeira equipe.
- US$ 200 mil por hackear o Microsoft Teams (executar código no servidor).
- US$ 100 mil para explorar o Apple Safari (estouro de número inteiro no Safari e estouro de buffer no kernel do macOS para ignorar o sandbox e executar código no nível do kernel).
- US$ 140 mil por hackear o Parallels Desktop (sair da máquina virtual e executar código no sistema principal). O ataque foi realizado através da exploração de três vulnerabilidades diferentes – vazamento de memória não inicializada, estouro de pilha e estouro de número inteiro.
- Dois prêmios de 40 mil dólares cada por hackear o Parallels Desktop (um erro lógico e um buffer overflow que permitiu a execução de código em um sistema operacional externo por meio de ações dentro de uma máquina virtual).
- Três prêmios de 40 mil dólares por três explorações bem-sucedidas do Windows 10 (estouro de número inteiro, acesso à memória já liberada e uma condição de corrida que permitiu a obtenção de privilégios de SYSTEM).
Foram feitas tentativas, mas sem sucesso, de hackear o Oracle VirtualBox. As nomeações para hackear Firefox, VMware ESXi, cliente Hyper-V, MS Office 365, MS SharePoint, MS RDP e Adobe Reader permaneceram não reclamadas. Também não houve ninguém disposto a demonstrar a pirataria do sistema de informação de um carro Tesla, apesar do prémio de 600 mil dólares mais um carro Tesla Model 3.
Fonte: opennet.ru