Povzeti so bili rezultati treh dni tekmovanja Pwn2Own 2021, ki vsako leto poteka v okviru konference CanSecWest. Tako kot lani je tekmovanje potekalo virtualno, napadi pa prikazani na spletu. Od 23 ciljnih ciljev so bile delovne tehnike za izkoriščanje predhodno neznanih ranljivosti prikazane za Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams in Zoom. V vseh primerih so bile testirane najnovejše različice programov, vključno z vsemi razpoložljivimi posodobitvami. Skupni znesek plačil je bil milijon dvesto tisoč ameriških dolarjev (skupni nagradni sklad je bil milijon in pol dolarjev).
Na tekmovanju so trikrat poskušali izkoristiti ranljivosti v Ubuntu Desktop. Prvi in drugi poskus sta bila veljavna in napadalci so lahko prikazali lokalno stopnjevanje privilegijev z izkoriščanjem prej neznanih ranljivosti, povezanih s prekoračitvijo medpomnilnika in dvojnim prostim pomnilnikom (katere komponente težave še niso bile sporočene; razvijalci imajo 90 dni časa, da jih popravijo napake pred razkritjem podatkov). Za te ranljivosti so bili plačani bonusi v višini 30 USD.
Tretji poskus, ki ga je izvedla druga ekipa v kategoriji zlorabe lokalnih privilegijev, je bil le delno uspešen - izkoriščanje je delovalo in omogočilo pridobitev korenskega dostopa, vendar napad ni bil v celoti priznan, saj je bila napaka, povezana z ranljivostjo, že znana. razvijalcem Ubuntuja in posodobitev s popravkom je bila v pripravi.
Uspešen napad je bil prikazan tudi za brskalnike, ki temeljijo na motorju Chromium - Google Chrome in Microsoft Edge. Za ustvarjanje izkoriščanja, ki vam omogoča izvajanje kode pri odpiranju posebej zasnovane strani v Chromu in Edgeu (eno univerzalno izkoriščanje je bilo ustvarjeno za dva brskalnika), je bila izplačana nagrada v višini 100 tisoč dolarjev. Popravek naj bi bil objavljen v prihodnjih urah, zaenkrat je znano le, da je ranljivost prisotna v procesu, ki je odgovoren za obdelavo spletne vsebine (renderer).
Drugi uspešni napadi:
- 200 tisoč dolarjev za vdor v aplikacijo Zoom (svojo kodo mu je uspelo izvršiti s pošiljanjem sporočila drugemu uporabniku, ne da bi prejemnik potreboval kakršno koli dejanje). Napad je uporabil tri ranljivosti v Zoomu in eno v operacijskem sistemu Windows.
- 200 tisoč dolarjev za vdor v Microsoft Exchange (zaobilaženje avtentikacije in lokalno stopnjevanje privilegijev na strežniku za pridobitev skrbniških pravic). Še en uspešno delujoč podvig je bil prikazan drugi ekipi, vendar druga nagrada ni bila izplačana, saj je iste napake že uporabila prva ekipa.
- 200 tisoč dolarjev za vdor v Microsoft Teams (izvajanje kode na strežniku).
- 100 tisoč $ za izkoriščanje Apple Safari (prelivanje celih števil v Safariju in prekoračitev medpomnilnika v jedru macOS za obhod peskovnika in izvajanje kode na ravni jedra).
- 140 tisoč dolarjev za vdor v Parallels Desktop (izhod iz virtualnega stroja in izvajanje kode v glavnem sistemu). Napad je bil izveden z izkoriščanjem treh različnih ranljivosti - neinicializiranega puščanja pomnilnika, prelivanja sklada in prelivanja celih števil.
- Dve nagradi po 40 tisoč dolarjev za vdor v Parallels Desktop (logična napaka in prekoračitev medpomnilnika, ki je omogočila izvajanje kode v zunanjem operacijskem sistemu prek dejanj znotraj virtualnega stroja).
- Tri nagrade po 40 tisoč dolarjev za tri uspešne podvige sistema Windows 10 (prelivanje celih števil, dostop do že sproščenega pomnilnika in pogoj tekmovanja, ki je omogočal pridobitev SISTEMSKIH privilegijev).
Opravljeni so bili poskusi vdora v Oracle VirtualBox, a so bili neuspešni. Nominacije za vdor v Firefox, VMware ESXi, odjemalca Hyper-V, MS Office 365, MS SharePoint, MS RDP in Adobe Reader so ostale nepreklicane. Prav tako ni bilo nikogar, ki bi bil pripravljen pokazati vdor v informacijski sistem avtomobila Tesla, kljub nagradi 600 tisoč dolarjev in avtomobilu Tesla Model 3.
Vir: opennet.ru