Resultaten av tre dagar av tävlingen Pwn2Own 2021, som hålls årligen som en del av CanSecWest-konferensen, har sammanfattats. Liksom förra året genomfördes tävlingen virtuellt och attackerna demonstrerades online. Av de 23 riktade målen demonstrerades arbetstekniker för att utnyttja tidigare okända sårbarheter för Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams och Zoom. I samtliga fall testades de senaste versionerna av programmen, inklusive alla tillgängliga uppdateringar. Det totala beloppet för betalningar var en miljon tvåhundratusen dollar (den totala prisfonden var en och en halv miljon dollar).
Vid tävlingen gjordes tre försök att utnyttja sårbarheter i Ubuntu Desktop. Det första och andra försöket var giltiga och angriparna kunde demonstrera lokal eskalering av privilegier genom att utnyttja tidigare okända sårbarheter relaterade till buffertspill och dubbelt ledigt minne (vilka komponenter i problemet har ännu inte rapporterats; utvecklare får 90 dagar på sig att åtgärda fel innan data avslöjas). Bonusar på $30 XNUMX betalades ut för dessa sårbarheter.
Det tredje försöket, som gjordes av ett annat team i kategorin lokala privilegiemissbruk, lyckades bara delvis - utnyttjandet fungerade och gjorde det möjligt att få root-åtkomst, men attacken krediterades inte helt, eftersom felet i samband med sårbarheten redan var känt till Ubuntu-utvecklarna och en uppdatering med en fix var under förberedelse.
En framgångsrik attack demonstrerades även för webbläsare baserade på Chromium-motorn – Google Chrome och Microsoft Edge. För att skapa en exploit som låter dig köra din kod när du öppnar en specialdesignad sida i Chrome och Edge (en universell exploit skapades för två webbläsare), betalades ett pris på 100 tusen dollar. Fixningen är planerad att publiceras under de kommande timmarna, så långt är allt som är känt att sårbarheten finns i processen som ansvarar för bearbetning av webbinnehåll (renderare).
Andra framgångsrika attacker:
- 200 tusen dollar för att ha hackat Zoom-applikationen (lyckades exekvera sin kod genom att skicka ett meddelande till en annan användare, utan att mottagaren behövde göra något). Attacken använde tre sårbarheter i Zoom och en i operativsystemet Windows.
- 200 tusen dollar för att hacka Microsoft Exchange (förbikoppla autentisering och lokalt eskalerande privilegier på servern för att få administratörsrättigheter). En annan framgångsrik exploatering demonstrerades för ett annat lag, men andrapriset betalades inte ut, eftersom samma fel redan hade använts av det första laget.
- $200 tusen för att hacka Microsoft Teams (exekvera kod på servern).
- 100 tusen dollar för att utnyttja Apple Safari (heltalsspill i Safari och buffertspill i macOS-kärnan för att kringgå sandlåda och exekvera kod på kärnnivå).
- $140 tusen för att hacka Parallels Desktop (avsluta den virtuella maskinen och exekvera kod på huvudsystemet). Attacken utfördes genom att utnyttja tre olika sårbarheter - oinitierad minnesläcka, stackoverflow och heltalsoverflow.
- Två utmärkelser på 40 tusen dollar vardera för att hacka Parallels Desktop (ett logiskt fel och ett buffertspill som gjorde att kod kunde exekveras i ett externt operativsystem genom åtgärder inuti en virtuell maskin).
- Tre utmärkelser på 40 tusen dollar för tre framgångsrika utnyttjande av Windows 10 (heltalsspill, tillgång till redan frigjort minne och ett tävlingsvillkor som gjorde att SYSTEM-privilegier kunde erhållas).
Försök gjordes, men misslyckades, att hacka Oracle VirtualBox. Nomineringar för att hacka Firefox, VMware ESXi, Hyper-V-klient, MS Office 365, MS SharePoint, MS RDP och Adobe Reader förblev outtagna. Det fanns heller ingen som var villig att demonstrera hackningen av informationssystemet för en Tesla-bil, trots priset på 600 tusen dollar plus en Tesla Model 3-bil.
Källa: opennet.ru