สรุปผลการแข่งขัน Pwn2Own 2021 สามวันซึ่งจัดขึ้นเป็นประจำทุกปีโดยเป็นส่วนหนึ่งของการประชุม CanSecWest แล้ว เช่นเดียวกับปีที่แล้ว การแข่งขันจัดขึ้นแบบเสมือนจริงและมีการแสดงการโจมตีทางออนไลน์ จากเป้าหมาย 23 เป้าหมาย มีการสาธิตเทคนิคการทำงานเพื่อใช้ประโยชน์จากช่องโหว่ที่ไม่รู้จักก่อนหน้านี้สำหรับ Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams และ Zoom ในทุกกรณี มีการทดสอบโปรแกรมเวอร์ชันล่าสุด รวมถึงการอัปเดตที่มีอยู่ทั้งหมด จำนวนเงินที่ชำระทั้งหมดคือหนึ่งล้านสองแสนเหรียญสหรัฐ (เงินรางวัลรวมคือหนึ่งล้านครึ่งล้านเหรียญสหรัฐ)
ในการแข่งขัน มีความพยายามสามครั้งในการใช้ประโยชน์จากช่องโหว่ใน Ubuntu Desktop ความพยายามครั้งแรกและครั้งที่สองนั้นถูกต้องและผู้โจมตีสามารถแสดงให้เห็นถึงการเพิ่มสิทธิ์ในพื้นที่โดยใช้ประโยชน์จากช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ซึ่งเกี่ยวข้องกับบัฟเฟอร์ล้นและหน่วยความจำว่างสองเท่า (ซึ่งส่วนประกอบของปัญหายังไม่ได้รับการรายงาน นักพัฒนามีเวลา 90 วันในการแก้ไข ผิดพลาดก่อนเปิดเผยข้อมูล) มีการจ่ายโบนัสจำนวน 30 ดอลลาร์สำหรับช่องโหว่เหล่านี้
ความพยายามครั้งที่สามซึ่งทำโดยทีมอื่นในหมวดหมู่การละเมิดสิทธิ์ในเครื่องนั้นประสบความสำเร็จเพียงบางส่วนเท่านั้น - การใช้ประโยชน์ใช้งานได้และทำให้สามารถเข้าถึงรูทได้ แต่การโจมตีนั้นไม่ได้รับเครดิตอย่างสมบูรณ์เนื่องจากข้อผิดพลาดที่เกี่ยวข้องกับช่องโหว่เป็นที่ทราบแล้ว สำหรับนักพัฒนา Ubuntu และการอัปเดตพร้อมการแก้ไขอยู่ระหว่างการเตรียมการ
การโจมตีที่ประสบความสำเร็จยังแสดงให้เห็นสำหรับเบราว์เซอร์ที่ใช้เครื่องยนต์ Chromium - Google Chrome และ Microsoft Edge สำหรับการสร้างช่องโหว่ที่ช่วยให้คุณสามารถรันโค้ดของคุณเมื่อเปิดหน้าที่ออกแบบเป็นพิเศษใน Chrome และ Edge (การสร้างช่องโหว่สากลหนึ่งรายการถูกสร้างขึ้นสำหรับเบราว์เซอร์สองตัว) มีการจ่ายรางวัล 100 ดอลลาร์ การแก้ไขมีแผนจะเผยแพร่ในอีกไม่กี่ชั่วโมงข้างหน้า สิ่งที่ทราบทั้งหมดก็คือมีช่องโหว่อยู่ในกระบวนการที่รับผิดชอบในการประมวลผลเนื้อหาเว็บ (เรนเดอร์)
การโจมตีที่ประสบความสำเร็จอื่นๆ:
- 200 ดอลลาร์สำหรับการแฮ็กแอปพลิเคชั่น Zoom (จัดการเพื่อรันโค้ดของเขาโดยการส่งข้อความไปยังผู้ใช้รายอื่น โดยไม่จำเป็นต้องดำเนินการใดๆ จากผู้รับ) การโจมตีดังกล่าวใช้ช่องโหว่ XNUMX รายการใน Zoom และอีก XNUMX รายการในระบบปฏิบัติการ Windows
- 200 ดอลลาร์สำหรับการแฮ็ก Microsoft Exchange (ข้ามการรับรองความถูกต้องและเพิ่มสิทธิ์ในเครื่องบนเซิร์ฟเวอร์เพื่อรับสิทธิ์ของผู้ดูแลระบบ) อีกหนึ่งช่องโหว่ที่ประสบความสำเร็จในการทำงานถูกแสดงให้ทีมอื่นเห็น แต่รางวัลที่สองไม่ได้รับการจ่าย เนื่องจากทีมแรกใช้ข้อผิดพลาดเดียวกันนี้แล้ว
- $200 สำหรับการแฮ็ก Microsoft Teams (รันโค้ดบนเซิร์ฟเวอร์)
- 100 ดอลลาร์สำหรับการใช้ประโยชน์จาก Apple Safari (จำนวนเต็มล้นใน Safari และบัฟเฟอร์ล้นในเคอร์เนล macOS เพื่อข้ามแซนด์บ็อกซ์และรันโค้ดในระดับเคอร์เนล)
- 140 ดอลลาร์สำหรับการแฮ็ก Parallels Desktop (ออกจากเครื่องเสมือนและรันโค้ดบนระบบหลัก) การโจมตีดังกล่าวดำเนินการผ่านการใช้ประโยชน์จากช่องโหว่ที่แตกต่างกัน XNUMX รายการ ได้แก่ หน่วยความจำรั่วที่ไม่ได้กำหนดค่าเริ่มต้น สแต็กโอเวอร์โฟลว์ และจำนวนเต็มล้น
- รางวัลสองรางวัลมูลค่า 40 ดอลลาร์สำหรับการแฮ็ก Parallels Desktop (ข้อผิดพลาดเชิงตรรกะและบัฟเฟอร์ล้นที่อนุญาตให้เรียกใช้โค้ดในระบบปฏิบัติการภายนอกผ่านการดำเนินการภายในเครื่องเสมือน)
- รางวัลสามรางวัลมูลค่า 40 ดอลลาร์สำหรับการใช้ประโยชน์จาก Windows 10 ที่ประสบความสำเร็จสามครั้ง (จำนวนเต็มล้น การเข้าถึงหน่วยความจำที่ว่างแล้ว และสภาวะการแข่งขันที่อนุญาตให้ได้รับสิทธิพิเศษของระบบ)
มีการพยายามแฮ็ก Oracle VirtualBox แต่ไม่สำเร็จ การเสนอชื่อสำหรับการแฮ็ก Firefox, VMware ESXi, ไคลเอนต์ Hyper-V, MS Office 365, MS SharePoint, MS RDP และ Adobe Reader ยังคงไม่มีการอ้างสิทธิ์ นอกจากนี้ยังไม่มีใครเต็มใจสาธิตการแฮ็กระบบข้อมูลของรถยนต์ Tesla แม้ว่าจะมีรางวัล 600 ดอลลาร์พร้อมรถยนต์ Tesla Model 3 ก็ตาม
ที่มา: opennet.ru