Rezultatele competiției Pwn2Own 2021, care se desfășoară anual în cadrul conferinței CanSecWest, au fost anunțate. Ca și în anul precedent, competiția s-a desfășurat virtual, iar atacurile au fost demonstrate online. Au fost demonstrate tehnici de exploatare a vulnerabilităților necunoscute anterior pentru 23 de ținte desemnate. Ubuntu Spațiul de lucru, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams și Zoom. În toate cazurile, au fost testate cele mai recente versiuni ale programelor, inclusiv toate actualizările disponibile. Premiul total a fost de un milion două sute de mii de dolari americani (fondul total de premiere a fost de un milion și jumătate de dolari).
În timpul competiției au fost făcute trei încercări de exploatare a vulnerabilităților. Ubuntu Desktop. Prima și a doua încercare au avut succes, iar atacatorii au demonstrat escaladarea privilegiilor locale prin exploatarea unor vulnerabilități necunoscute anterior, legate de buffer overflow-uri și double-free-uri (componentele specifice afectate de probleme nu au fost încă dezvăluite; dezvoltatorii au la dispoziție 90 de zile pentru a remedia erorile înainte de a dezvălui detaliile). Pentru aceste vulnerabilități au fost plătite recompense de 30 de dolari.
O a treia încercare a unei alte echipe din categoria escaladării privilegiilor locale a avut doar parțial succes — exploit-ul a funcționat și a permis acces root, dar atacul nu a fost pe deplin recunoscut, deoarece eroarea legată de vulnerabilitate era deja cunoscută dezvoltatorilor. Ubuntu și o actualizare cu o remediere era în pregătire.
Un atac de succes a fost demonstrat și pentru browserele bazate pe motorul Chromium - Google Chrome și Microsoft Edge. Pentru crearea unui exploit care vă permite să executați codul atunci când deschideți o pagină special concepută în Chrome și Edge (a fost creat un exploit universal pentru două browsere), a fost plătit un premiu de 100 de mii de dolari. Remedierea este planificată să fie publicată în următoarele ore, până acum tot ceea ce se știe este că vulnerabilitatea este prezentă în procesul responsabil de procesarea conținutului web (renderer).
Alte atacuri de succes:
- 200 de dolari pentru piratarea aplicației Zoom (atacatorul a reușit să execute codul său trimițând un mesaj unui alt utilizator, fără a solicita destinatarului să ia vreo măsură). Atacul a exploatat trei vulnerabilități în Zoom și una în sistemul de operare. Windows.
- 200 de dolari pentru piratarea Microsoft Exchange (ocolind autentificarea și escaladarea privilegiilor locale pe Server (pentru a obține drepturi de administrator). O altă echipă a demonstrat o altă exploatare funcțională, dar premiul al doilea nu a fost plătit deoarece aceleași erori fuseseră deja exploatate de prima echipă.
- 200 de dolari pentru piratarea Microsoft Teams (executarea de cod pe Server).
- 100 USD pentru exploatarea Apple Safari (overflow de numere întregi în Safari și overflow de buffer al kernelului) macOS pentru a ocoli sandbox-ul și a executa cod la nivel de kernel).
- 140 mii USD pentru piratarea Parallels Desktop (ieșirea din mașina virtuală și executarea codului pe sistemul principal). Atacul a fost efectuat prin exploatarea a trei vulnerabilități diferite - scurgere de memorie neinițializată, depășire a stivei și depășire a numărului întreg.
- Două premii de 40 de mii de dolari fiecare pentru hacking Parallels Desktop (o eroare logică și un buffer overflow care a permis executarea codului într-un sistem de operare extern prin acțiuni în interiorul unei mașini virtuale).
- Trei premii de 40 de mii de dolari pentru trei exploatări reușite Windows 10 (depășire de număr întreg, acces la memoria eliberată și condiție de concurență care permite obținerea privilegiilor SYSTEM).
Au fost făcute încercări, dar fără succes, de a pirata Oracle VirtualBox. Nominalizările pentru piratarea Firefox, VMware ESXi, client Hyper-V, MS Office 365, MS SharePoint, MS RDP și Adobe Reader au rămas nerevendicate. De asemenea, nu a fost nimeni dispus să demonstreze piratarea sistemului informatic al unei mașini Tesla, în ciuda premiului de 600 de mii de dolari plus o mașină Tesla Model 3.
Sursa: opennet.ru
