Janë përmbledhur rezultatet e tre ditëve të konkursit Pwn2Own 2022, që mbahet çdo vit si pjesë e konferencës CanSecWest. Teknikat e punës për shfrytëzimin e dobësive të panjohura më parë janë demonstruar për Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams dhe Firefox. U demonstruan gjithsej 25 sulme të suksesshme dhe tre përpjekje përfunduan me dështim. Sulmet përdorën lëshimet më të fundit të qëndrueshme të aplikacioneve, shfletuesve dhe sistemeve operative me të gjitha përditësimet e disponueshme dhe në konfigurimin e paracaktuar. Shuma totale e shpërblimit të paguar ishte 1,155,000 USD.
Konkursi demonstroi pesë përpjekje të suksesshme për të shfrytëzuar dobësitë e panjohura më parë në Ubuntu Desktop, të ndërmarra nga ekipe të ndryshme pjesëmarrësish. Një çmim prej 40 dollarësh u pagua për demonstrimin e përshkallëzimit të privilegjeve lokale në Ubuntu Desktop duke shfrytëzuar dy tejmbushje buferi dhe çështje të dyfishta pa pagesë. Katër çmime, secila me vlerë 40 dollarë, u dhanë për demonstrimin e përshkallëzimit të privilegjeve përmes shfrytëzimit të dobësive të përdorimit-pas-falas.
Komponentët e saktë të problemit nuk janë raportuar ende; në përputhje me kushtet e konkursit, informacioni i detajuar për të gjitha dobësitë e demonstruara 0-ditore do të publikohet vetëm pas 90 ditësh, të cilat u jepen prodhuesve për të përgatitur përditësime që eliminojnë dobësitë.
Sulme të tjera të suksesshme:
- 100 mijë dollarë për zhvillimin e një shfrytëzimi për Firefox-in, i cili lejoi, kur hapej një faqe e krijuar posaçërisht, të anashkalonte izolimin e sandbox dhe të ekzekutonte kodin në sistem.
- 40 dollarë për të demonstruar një shfrytëzim që përdor një tejmbushje buferi në Oracle Virtualbox për të dalë nga një mysafir.
- 50 mijë dollarë për funksionimin e Apple Safari (mbushje buferi).
- 450 mijë dollarë për hakimin e Microsoft Teams (skuadra të ndryshme demonstruan tre hakime me një shpërblim prej 150 mijë për secilin).
- 80 mijë dollarë (dy çmime nga 40 mijë secila) për shfrytëzimin e tejmbushjeve të buferit dhe përshkallëzimin e privilegjeve të dikujt në Microsoft Windows 11.
- 80 mijë dollarë (dy çmime nga 40 mijë secila) për shfrytëzimin e një gabimi në kodin e verifikimit të aksesit për të rritur privilegjet e dikujt në Microsoft Windows 11.
- 40 mijë dollarë për shfrytëzimin e tejkalimit të numrave të plotë për të përshkallëzuar privilegjet në Microsoft Windows 11.
- 40 mijë dollarë për shfrytëzimin e një cenueshmërie Përdorimi-Pa-Free në Microsoft Windows 11.
- 75 mijë dollarë për demonstrimin e një sulmi ndaj sistemit info-argëtues të një Telsa Model 3. Shfrytëzimi përdori gabime që çuan në tejmbushje të buferit dhe lirime të dyfishta, së bashku me një teknikë të njohur më parë për anashkalimin e izolimit të sandbox.
U bënë përpjekje të veçanta, por ishin të pasuksesshme, për të hakuar Microsoft Windows 11 (6 hakime të suksesshme dhe 1 i pasuksesshëm), Tesla (1 hakim i suksesshëm dhe 1 i pasuksesshëm) dhe Microsoft Teams (3 hakime të suksesshme dhe 1 i pasuksesshëm). Nuk kishte asnjë kërkesë për të demonstruar shfrytëzime në Google Chrome këtë vit.
Burimi: opennet.ru