Натиҷаҳои ду рӯзи мусобиқаҳои Pwn2Own 2020, ки ҳамасола дар доираи конфронси CanSecWest баргузор мешавад. Имсол озмун ба таври виртуалӣ баргузор шуда, ҳамлаҳо ба таври онлайн намоиш дода шуданд. Озмун усулҳои кориро барои истифодаи осебпазириҳои қаблан номаълум дар Ubuntu Desktop (ядрои Linux), Windows, macOS, Safari, VirtualBox ва Adobe Reader пешниҳод кард. Маблағи умумии пардохтҳо 270 ҳазор долларро ташкил дод (фонди умумии ҷоиза зиёда аз 4 миллион доллари ИМА).
- Баланд бардоштани имтиёзҳои маҳаллӣ дар Ubuntu Desktop бо истифода аз осебпазирӣ дар ядрои Linux, ки бо санҷиши нодурусти арзишҳои воридотӣ алоқаманд аст (мукофот $30);
- Намоиши баромадан аз муҳити меҳмон дар VirtualBox ва иҷрои рамз бо ҳуқуқи гипервизор, истифодаи ду осебпазирӣ - қобилияти хондани маълумот аз минтақаи берун аз буфери ҷудошуда ва хатогӣ ҳангоми кор бо тағирёбандаҳои ибтидоӣ (мукофоти 40 ҳазор доллар). Берун аз озмун, намояндагони Ташаббуси Zero Day боз як хакерии VirtualBox-ро намоиш доданд, ки имкон медиҳад ба системаи ҳост тавассути манипуляцияҳо дар муҳити меҳмон дастрасӣ пайдо кунад;
- Ҳакерӣ кардани Safari бо имтиёзҳои баланд ба сатҳи ядрои macOS ва ҳисобкунакро ҳамчун реша иҷро кунед. Барои истисмор занҷири 6 хато истифода шудааст (мукофот 70 ҳазор доллар);
- Ду намоиши густариши имтиёзҳои маҳаллӣ дар Windows тавассути истифодаи осебпазирӣ, ки ба дастрасӣ ба майдони хотираи аллакай озодшуда оварда мерасонанд (ду ҷоизаи ҳар кадоме 40 ҳазор доллар);
- Гирифтани дастрасии администратор дар Windows ҳангоми кушодани ҳуҷҷати махсуси PDF дар Adobe Reader. Ҳамла осебпазирии Acrobat ва ядрои Windows-ро дар бар мегирад, ки бо дастрасӣ ба минтақаҳои хотираи аллакай озодшуда (ҷоизаи $50) алоқаманд аст.
Номзадҳо барои хакерӣ Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office ва Microsoft Windows RDP бетаъсир монданд. Кӯшиш карда шуд, ки VMware Workstation-ро вайрон кунад, аммо он муваффақ нашуд.
Мисли соли гузашта, категорияҳои мукофотҳо ҳакерҳои аксарияти лоиҳаҳои кушодаасосро дар бар намегиранд (nginx, OpenSSL, Apache httpd).
Алоҳида, мо метавонем мавзӯи ҳакерӣ ба системаҳои иттилоотии мошини Tesla-ро қайд кунем. Бо вуҷуди ҷоизаи ҳадди аксар 700 ҳазор доллар, аммо дар алоҳидагӣ кӯшиши шикастани Tesla дар озмун вуҷуд надошт. дар бораи муайян кардани осебпазирии DoS (CVE-2020-10558) дар Tesla Model 3, ки имкон медиҳад ҳангоми кушодани саҳифаи махсус тарҳрезишуда дар браузери дарунсохт огоҳиномаҳоро аз автомати пилот хомӯш карда, кори ҷузъҳои монанди спидометр, браузер, кондитсионер, системаи навигатсионӣ ва ғайра.
Манбаъ: opennet.ru