Foram anunciados os resultados da competição Pwn2Own 2024, com duração de dois dias e realizada anualmente como parte da conferência CanSecWest em Vancouver. Técnicas funcionais para explorar vulnerabilidades até então desconhecidas foram desenvolvidas para Ubuntu Desktop, Windows 11, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge e um carro Tesla. Um total de 23 ataques bem-sucedidos foram demonstrados, explorando 29 vulnerabilidades até então desconhecidas.
Os ataques usaram as versões estáveis mais recentes de aplicativos, navegadores e sistemas operacionais com todas as atualizações e configurações padrão disponíveis. O valor total da remuneração paga foi de 1,132,500 USD. Para hackear a Tesla, um Tesla Model 3 adicional foi concedido. O valor das recompensas pagas nas últimas três competições Pwn2Own totalizou US$ 3,494,750. A equipe com mais pontos recebeu US$ 202 mil.
Ataques realizados:
- Quatro ataques bem-sucedidos contra Ubuntu O sistema operacional Desktop permitia que um usuário sem privilégios obtivesse privilégios de root (uma recompensa de US$ 20 e US$ 10, e duas recompensas de US$ 5). As vulnerabilidades foram causadas por uma condição de corrida e um estouro de buffer.
- Um ataque ao Firefox que permitiu contornar o isolamento do sandbox e executar código no sistema ao abrir uma página especialmente desenhada (prêmio de 100 mil dólares). A vulnerabilidade é causada por um erro que permite a leitura e gravação de dados em uma área fora do limite do buffer alocado para um objeto JavaScript, bem como a possibilidade de substituir um manipulador de eventos em um objeto JavaScript privilegiado. Logo atrás, os desenvolvedores da Mozilla publicaram prontamente a atualização do Firefox 124.0.1, eliminando os problemas identificados.
- Quatro ataques ao Chrome, que permitiram a execução de código no sistema ao abrir uma página especialmente desenhada (um prêmio de 85 e 60 mil dólares cada, dois prêmios de 42.5 mil). As vulnerabilidades são causadas por acesso à memória após leituras livres e fora do buffer e validação de entrada incorreta. As três explorações são universais e funcionam não apenas no Chrome, mas também no Edge.
- Um ataque ao Apple Safari que permitiu a execução de código no sistema ao abrir uma página especialmente projetada (prêmio de US$ 60). A vulnerabilidade é causada por um estouro de número inteiro.
- Quatro hacks do Oracle VirtualBox que permitiram sair do sistema convidado e executar código no lado do host (um prêmio de 90 mil dólares e três prêmios de 20 mil dólares). Os ataques foram realizados explorando vulnerabilidades causadas por buffer overflows, condições de corrida e acesso à memória após liberação.
- Um ataque ao Docker que permitiu escapar de um contêiner isolado (prêmio de 60 mil dólares). A vulnerabilidade é causada por um acesso à memória após a liberação.
- Dois ataques à estação de trabalho VMWare que permitiram o logout do sistema convidado e a execução de código no lado do host. Os ataques usaram acesso à memória após liberação, buffer overflow e uma variável não inicializada (prêmios de US$ 30 e US$ 130).
- Cinco ataques à Microsoft Windows Onze vulnerabilidades foram exploradas para aumentar seus privilégios (três recompensas de US$ 15.000, uma de US$ 30.000 e outra de US$ 7500). As vulnerabilidades foram causadas por condições de corrida, estouro de inteiro, contagem de referências incorreta e validação de entrada inadequada.
- Execução de código ao processar conteúdo no Adobe Reader (prêmio de US$ 50 mil). O ataque explorou uma vulnerabilidade que permitia contornar as restrições da API e um bug que permitia a substituição de comandos.
- Um ataque ao sistema de informação de um carro Tesla, realizado através da manipulação do barramento CAN BUS e permitindo obter um overflow de inteiros e obter acesso à ECU (unidade de controle eletrônico). O prêmio foi de 200 mil dólares e um carro Tesla Model 3.
- As tentativas de hackear o Microsoft SharePoint e o VMware ESXi não tiveram sucesso.
Os componentes exatos do problema ainda não foram relatados; de acordo com os termos da competição, informações detalhadas sobre todas as vulnerabilidades demonstradas do dia 0 serão publicadas somente após 90 dias, que são dados aos fabricantes para preparar atualizações que eliminem o vulnerabilidades.
Fonte: opennet.ru
