Janë përmbledhur rezultatet e tre ditëve të konkursit Pwn2Own 2021, që mbahet çdo vit si pjesë e konferencës CanSecWest. Ashtu si vitin e kaluar, konkursi u zhvillua virtualisht dhe sulmet u demonstruan online. Nga 23 objektivat e synuara, teknikat e punës për shfrytëzimin e dobësive të panjohura më parë u demonstruan për Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams dhe Zoom. Në të gjitha rastet, u testuan versionet më të fundit të programeve, duke përfshirë të gjitha përditësimet e disponueshme. Shuma totale e pagesave ishte një milion e dyqind mijë dollarë amerikanë (fondi total i çmimeve ishte një milion e gjysmë dollarë).
Në konkurs, u bënë tre përpjekje për të shfrytëzuar dobësitë në Ubuntu Desktop. Përpjekjet e para dhe të dyta ishin të vlefshme dhe sulmuesit ishin në gjendje të demonstronin përshkallëzimin lokal të privilegjeve duke shfrytëzuar dobësitë e panjohura më parë në lidhje me tejmbushjen e buferit dhe memorien e dyfishtë të lirë (të cilët komponentë të problemit nuk janë raportuar ende; zhvilluesve u jepen 90 ditë për t'i korrigjuar gabimet para zbulimit të të dhënave). Për këto dobësi janë paguar bonuse prej 30 dollarë.
Përpjekja e tretë, e bërë nga një ekip tjetër në kategorinë e abuzimit me privilegjet lokale, ishte vetëm pjesërisht e suksesshme - shfrytëzimi funksionoi dhe bëri të mundur marrjen e aksesit rrënjë, por sulmi nuk u vlerësua plotësisht, pasi gabimi i lidhur me cenueshmërinë ishte i njohur tashmë. për zhvilluesit e Ubuntu dhe një përditësim me një rregullim ishte në proces përgatitjeje.
Një sulm i suksesshëm u demonstrua gjithashtu për shfletuesit e bazuar në motorin Chromium - Google Chrome dhe Microsoft Edge. Për krijimin e një shfrytëzimi që ju lejon të ekzekutoni kodin tuaj kur hapni një faqe të krijuar posaçërisht në Chrome dhe Edge (një shfrytëzim universal u krijua për dy shfletues), u pagua një çmim prej 100 mijë dollarësh. Rregullimi është planifikuar të publikohet në orët në vijim, deri më tani dihet vetëm se cenueshmëria është e pranishme në procesin përgjegjës për përpunimin e përmbajtjes në ueb (renderer).
Sulme të tjera të suksesshme:
- 200 mijë dollarë për hakimin e aplikacionit Zoom (arriti të ekzekutonte kodin e tij duke i dërguar një mesazh një përdoruesi tjetër, pa pasur nevojë për asnjë veprim nga ana e marrësit). Sulmi përdori tre dobësi në Zoom dhe një në sistemin operativ Windows.
- 200 mijë dollarë për hakimin e Microsoft Exchange (anashkalimi i vërtetimit dhe përshkallëzimi lokal i privilegjeve në server për të fituar të drejtat e administratorit). Një tjetër shfrytëzim i suksesshëm iu demonstrua një ekipi tjetër, por çmimi i dytë nuk u pagua, pasi të njëjtat gabime ishin përdorur tashmë nga ekipi i parë.
- 200 mijë dollarë për hakimin e Microsoft Teams (ekzekutimi i kodit në server).
- 100 mijë dollarë për shfrytëzimin e Apple Safari (mbikalimi i numrave të plotë në Safari dhe tejmbushja e buferit në kernelin macOS për të anashkaluar sandbox dhe për të ekzekutuar kodin në nivelin e kernelit).
- 140 mijë dollarë për hakimin e Parallels Desktop (dalja nga makina virtuale dhe ekzekutimi i kodit në sistemin kryesor). Sulmi u krye përmes shfrytëzimit të tre dobësive të ndryshme - rrjedhje e painitializuar e kujtesës, tejmbushja e stivës dhe tejkalimi i numrave të plotë.
- Dy çmime prej 40 mijë dollarësh secili për hakimin e Parallels Desktop (një gabim logjik dhe një tejmbushje buffer që lejoi ekzekutimin e kodit në një OS të jashtëm përmes veprimeve brenda një makinerie virtuale).
- Tre çmime prej 40 mijë dollarësh për tre shfrytëzime të suksesshme të Windows 10 (mbushje e numrave të plotë, akses në memorien tashmë të liruar dhe një kusht gare që lejoi marrjen e privilegjeve të SYSTEM-it).
U bënë përpjekje, por ishin të pasuksesshme, për të hakuar Oracle VirtualBox. Nominimet për hakerimin e Firefox, VMware ESXi, klientit Hyper-V, MS Office 365, MS SharePoint, MS RDP dhe Adobe Reader mbetën të padeklaruara. Askush nuk ishte i gatshëm të demonstronte hakimin e sistemit të informacionit të një makine Tesla, pavarësisht çmimit prej 600 mijë dollarësh plus një makinë Tesla Model 3.
Burimi: opennet.ru