Matokeo ya siku tatu ya shindano la Pwn2Own 2021, linalofanyika kila mwaka kama sehemu ya mkutano wa CanSecWest, yamefupishwa. Kama mwaka jana, mashindano yalifanyika karibu na mashambulizi yalionyeshwa mtandaoni. Kati ya malengo 23 yaliyolengwa, mbinu za kufanya kazi za kutumia udhaifu usiojulikana hapo awali zilionyeshwa kwa Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams na Zoom. Katika hali zote, matoleo ya hivi karibuni ya programu yalijaribiwa, ikiwa ni pamoja na sasisho zote zilizopo. Jumla ya malipo yalikuwa dola za kimarekani milioni moja laki mbili (jumla ya mfuko wa zawadi ulikuwa dola milioni moja na nusu).
Katika shindano hilo, majaribio matatu yalifanywa kutumia udhaifu katika Ubuntu Desktop. Jaribio la kwanza na la pili lilikuwa halali na washambuliaji waliweza kuonyesha kuongezeka kwa haki za ndani kwa kutumia udhaifu usiojulikana hapo awali unaohusiana na kufurika kwa bafa na kumbukumbu isiyolipishwa maradufu (ambazo vipengele vya tatizo bado havijaripotiwa; wasanidi programu hupewa siku 90 kurekebisha. makosa kabla ya kufichua data). Bonasi za $30 zililipwa kwa udhaifu huu.
Jaribio la tatu, lililofanywa na timu nyingine katika kitengo cha matumizi mabaya ya haki za ndani, lilifanikiwa kwa kiasi - unyonyaji ulifanya kazi na kuwezesha kupata ufikiaji wa mizizi, lakini shambulio hilo halikuthibitishwa kikamilifu, kwani hitilafu inayohusishwa na mazingira magumu ilikuwa tayari inajulikana. kwa watengenezaji wa Ubuntu na sasisho lililo na marekebisho lilikuwa katika mchakato wa maandalizi.
Shambulio lililofanikiwa pia lilionyeshwa kwa vivinjari kulingana na injini ya Chromium - Google Chrome na Microsoft Edge. Kwa kuunda matumizi ambayo hukuruhusu kutekeleza nambari yako wakati wa kufungua ukurasa iliyoundwa mahsusi katika Chrome na Edge (unyonyaji mmoja wa ulimwengu wote uliundwa kwa vivinjari viwili), zawadi ya dola elfu 100 ililipwa. Marekebisho yamepangwa kuchapishwa katika saa zijazo, kufikia sasa kinachojulikana ni kwamba uwezekano wa kuathiriwa upo katika mchakato unaohusika na kuchakata maudhui ya wavuti (kionyeshi).
Mashambulizi mengine yaliyofanikiwa:
- $200 kwa kudukua programu ya Zoom (iliweza kutekeleza nambari yake kwa kutuma ujumbe kwa mtumiaji mwingine, bila kuhitaji hatua yoyote kwa upande wa mpokeaji). Shambulio hilo lilitumia udhaifu tatu katika Zoom na moja katika mfumo wa uendeshaji wa Windows.
- $200 kwa kudukua Microsoft Exchange (kupitia uthibitishaji na marupurupu yanayoongezeka ndani ya nchi kwenye seva ili kupata haki za msimamizi). Unyonyaji mwingine wa kufanya kazi kwa mafanikio ulionyeshwa kwa timu nyingine, lakini tuzo ya pili haikulipwa, kwani makosa yale yale yalikuwa yametumiwa na timu ya kwanza.
- $200 elfu kwa kudukua Timu za Microsoft (kutekeleza nambari kwenye seva).
- $100 kwa kunyonya Apple Safari (furika kamili katika Safari na kufurika kwa buffer kwenye kernel ya macOS ili kukwepa kisanduku cha mchanga na kutekeleza nambari kwenye kiwango cha kernel).
- $140 kwa kudukua Parallels Desktop (kutoka kwenye mashine pepe na kutekeleza msimbo kwenye mfumo mkuu). Shambulio hilo lilitekelezwa kupitia utumiaji wa athari tatu tofauti - uvujaji wa kumbukumbu ambao haujatambuliwa, kufurika kwa rafu na kufurika kabisa.
- Tuzo mbili za dola elfu 40 kila moja kwa kudukua Parallels Desktop (hitilafu ya kimantiki na kufurika kwa bafa ambayo iliruhusu msimbo kutekelezwa katika Mfumo wa Uendeshaji wa nje kupitia vitendo ndani ya mashine pepe).
- Tuzo tatu za dola elfu 40 kwa matumizi matatu yaliyofaulu ya Windows 10 (furika kamili, ufikiaji wa kumbukumbu iliyoachiliwa tayari na hali ya mbio ambayo iliruhusu marupurupu ya SYSTEM kupatikana).
Majaribio yalifanywa, lakini hayakufaulu, kudukua Oracle VirtualBox. Uteuzi wa udukuzi wa Firefox, VMware ESXi, Hyper-V mteja, MS Office 365, MS SharePoint, MS RDP na Adobe Reader haujadaiwa. Pia hakukuwa na mtu aliye tayari kuonyesha utapeli wa mfumo wa habari wa gari la Tesla, licha ya tuzo ya dola elfu 600 pamoja na gari la Tesla Model 3.
Chanzo: opennet.ru