rezultati dvodnevnih tekmovanj Pwn2Own 2020, ki potekajo vsako leto v okviru konference CanSecWest. Letos je tekmovanje potekalo virtualno, napadi pa so bili prikazani na spletu. Tekmovanje je predstavilo delovne tehnike za izkoriščanje prej neznanih ranljivosti v Ubuntu Desktop (Linux kernel), Windows, macOS, Safari, VirtualBox in Adobe Reader. Skupni znesek plačil je bil 270 tisoč dolarjev (skupni nagradni sklad več kot 4 milijone ameriških dolarjev).
- Lokalno stopnjevanje privilegijev v namizju Ubuntu z izkoriščanjem ranljivosti v jedru Linuxa, povezane z nepravilnim preverjanjem vhodnih vrednosti (nagrada 30 $);
- Prikaz izhoda iz gostujočega okolja v VirtualBoxu in izvajanje kode s pravicami hipervizorja, izkoriščanje dveh ranljivosti - možnost branja podatkov iz območja zunaj dodeljenega medpomnilnika in napaka pri delu z neinicializiranimi spremenljivkami (nagrada 40 tisoč dolarjev). Izven konkurence so predstavniki Zero Day Initiative prikazali še en vdor v VirtualBox, ki omogoča dostop do gostiteljskega sistema z manipulacijami v gostujočem okolju;
- Vdor v Safari s povišanimi privilegiji na raven jedra macOS in zagon kalkulatorja kot root. Za izkoriščanje je bila uporabljena veriga 6 napak (nagrada 70 tisoč dolarjev);
- Dva prikaza stopnjevanja lokalnih privilegijev v sistemu Windows z izkoriščanjem ranljivosti, ki vodijo do dostopa do že sproščenega pomnilniškega območja (dve nagradi po 40 tisoč dolarjev);
- Pridobitev skrbniškega dostopa v sistemu Windows pri odpiranju posebej oblikovanega dokumenta PDF v programu Adobe Reader. Napad vključuje ranljivosti v programu Acrobat in jedru sistema Windows, povezane z dostopom do že sproščenih pomnilniških območij (nagrada 50 $).
Nominacije za vdiranje v Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office in Microsoft Windows RDP so ostale nepreklicane. Izveden je bil poskus vdora v VMware Workstation, vendar je bil neuspešen.
Tako kot lani v nagradnih kategorijah ni bilo vdorov v večino odprtokodnih projektov (nginx, OpenSSL, Apache httpd).
Ločeno lahko opozorimo na temo vdora v informacijske sisteme avtomobila Tesla. Na tekmovanju kljub najvišji nagradi 700 tisoč dolarjev ni bilo poskusov vdora v Teslo, vendar ločeno o identifikaciji ranljivosti DoS (CVE-2020-10558) v Tesla Model 3, ki omogoča, da ob odpiranju posebej oblikovane strani v vgrajenem brskalniku onemogočite obvestila avtopilota in motite delovanje komponent, kot je npr. merilnik hitrosti, brskalnik, klimatska naprava, navigacijski sistem itd.
Vir: opennet.ru