Ang mga resulta ng tatlong araw ng kumpetisyon ng Pwn2Own 2021, na ginaganap taun-taon bilang bahagi ng kumperensya ng CanSecWest, ay nabuod. Tulad noong nakaraang taon, halos ginanap ang kumpetisyon at ang mga pag-atake ay ipinakita online. Sa 23 na target na target, ang mga diskarteng gumagana para sa pagsasamantala sa mga dating hindi kilalang kahinaan ay ipinakita para sa Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams at Zoom. Sa lahat ng kaso, sinubukan ang mga pinakabagong bersyon ng mga program, kasama ang lahat ng available na update. Ang kabuuang halaga ng mga pagbabayad ay isang milyon dalawang daang libong US dollars (ang kabuuang premyong pondo ay isa at kalahating milyong dolyar).
Sa kumpetisyon, tatlong pagtatangka ang ginawa upang pagsamantalahan ang mga kahinaan sa Ubuntu Desktop. Ang una at pangalawang pagtatangka ay wasto at ang mga umaatake ay nakapagpakita ng lokal na pagdami ng mga pribilehiyo sa pamamagitan ng pagsasamantala sa dati nang hindi kilalang mga kahinaan na may kaugnayan sa buffer overflow at dobleng libreng memorya (kung saan ang mga bahagi ng problema ay hindi pa naiulat; ang mga developer ay binibigyan ng 90 araw upang itama mga error bago ibunyag ang data). Ang mga bonus na $30 ay binayaran para sa mga kahinaang ito.
Ang ikatlong pagtatangka, na ginawa ng isa pang koponan sa kategorya ng lokal na pang-aabuso sa pribilehiyo, ay bahagyang nagtagumpay - ang pagsasamantala ay nagtrabaho at naging posible upang makakuha ng root access, ngunit ang pag-atake ay hindi ganap na na-kredito, dahil ang error na nauugnay sa kahinaan ay alam na. sa mga developer ng Ubuntu at ang isang pag-update na may pagsasaayos ay nasa proseso ng paghahanda.
Ang isang matagumpay na pag-atake ay ipinakita rin para sa mga browser batay sa Chromium engine - Google Chrome at Microsoft Edge. Para sa paglikha ng pagsasamantala na nagbibigay-daan sa iyong isagawa ang iyong code kapag nagbukas ng isang espesyal na idinisenyong pahina sa Chrome at Edge (isang unibersal na pagsasamantala ay nilikha para sa dalawang browser), isang premyong 100 libong dolyar ang binayaran. Ang pag-aayos ay binalak na mai-publish sa mga darating na oras, sa ngayon ang alam lang ay ang kahinaan ay naroroon sa proseso na responsable para sa pagproseso ng nilalaman ng web (renderer).
Iba pang matagumpay na pag-atake:
- $200 thousand para sa pag-hack ng Zoom application (pinamamahalaang isagawa ang kanyang code sa pamamagitan ng pagpapadala ng mensahe sa ibang user, nang hindi nangangailangan ng anumang aksyon sa bahagi ng tatanggap). Gumamit ang pag-atake ng tatlong mga kahinaan sa Zoom at isa sa operating system ng Windows.
- $200 para sa pag-hack ng Microsoft Exchange (pag-bypass sa pagpapatotoo at lokal na pagtaas ng mga pribilehiyo sa server upang makakuha ng mga karapatan ng administrator). Ang isa pang matagumpay na pagsasamantala ay ipinakita sa isa pang koponan, ngunit ang pangalawang premyo ay hindi nabayaran, dahil ang parehong mga pagkakamali ay ginamit na ng unang koponan.
- $200 thousand para sa pag-hack ng Microsoft Teams (pagpapatupad ng code sa server).
- $100 thousand para sa pagsasamantala sa Apple Safari (integer overflow sa Safari at buffer overflow sa macOS kernel para i-bypass ang sandbox at i-execute ang code sa kernel level).
- $140 thousand para sa pag-hack ng Parallels Desktop (paglabas sa virtual machine at pag-execute ng code sa pangunahing system). Ang pag-atake ay isinagawa sa pamamagitan ng pagsasamantala ng tatlong magkakaibang mga kahinaan - hindi inisyal na pagtagas ng memorya, stack overflow at integer overflow.
- Dalawang parangal na 40 libong dolyar bawat isa para sa pag-hack ng Parallels Desktop (isang lohikal na error at isang buffer overflow na nagpapahintulot sa code na maisagawa sa isang panlabas na OS sa pamamagitan ng mga aksyon sa loob ng isang virtual machine).
- Tatlong parangal na 40 libong dolyar para sa tatlong matagumpay na pagsasamantala ng Windows 10 (integer overflow, access sa nakalaya na memorya at isang kondisyon ng lahi na nagpapahintulot sa mga pribilehiyo ng SYSTEM na makuha).
Ang mga pagtatangka ay ginawa, ngunit hindi nagtagumpay, upang i-hack ang Oracle VirtualBox. Ang mga nominasyon para sa pag-hack ng Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP at Adobe Reader ay nanatiling hindi na-claim. Wala ring gustong ipakita ang pag-hack ng sistema ng impormasyon ng isang Tesla car, sa kabila ng premyo na 600 libong dolyar kasama ang isang Tesla Model 3 na kotse.
Pinagmulan: opennet.ru