Ang mga resulta ng dalawang araw ng kumpetisyon ng Pwn2Own 2024, na ginaganap taun-taon bilang bahagi ng kumperensya ng CanSecWest sa Vancouver, ay nabuod. Ang mga diskarte sa pagtatrabaho para sa pagsasamantala sa mga dating hindi kilalang kahinaan ay binuo para sa Ubuntu Desktop, Windows 11, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge at Tesla. Isang kabuuan ng 23 matagumpay na pag-atake ang ipinakita, na sinamantala ang 29 na dating hindi kilalang mga kahinaan.
Ginamit ng mga pag-atake ang pinakabagong mga stable na release ng mga application, browser at operating system na may lahat ng available na update at default na configuration. Ang kabuuang halaga ng bayad na binayaran ay USD 1,132,500. Para sa pag-hack ng Tesla, isang karagdagang Tesla Model 3 ang iginawad. Ang halaga ng mga gantimpala na binayaran para sa huling tatlong Pwn2Own na kumpetisyon ay umabot sa $3,494,750. Ang koponan na may pinakamaraming puntos ay nakatanggap ng $202.
Nagsagawa ng mga pag-atake:
- Apat na matagumpay na pag-atake sa Ubuntu Desktop, na nagpapahintulot sa isang unprivileged user na makakuha ng root rights (isang award na 20 thousand at 10 thousand dollars, dalawang award na 5 thousand dollars). Ang mga kahinaan ay sanhi ng mga kondisyon ng lahi at mga buffer overflow.
- Isang pag-atake sa Firefox na naging posible na i-bypass ang sandbox isolation at isagawa ang code sa system kapag binubuksan ang isang espesyal na idinisenyong pahina (award ng 100 libong dolyar). Ang kahinaan ay sanhi ng isang error na nagbibigay-daan sa data na basahin at isulat sa isang lugar sa labas ng hangganan ng buffer na inilaan para sa isang JavaScript object, pati na rin ang posibilidad ng pagpapalit ng isang event handler sa isang privileged JavaScript object. Mainit sa mga takong, ang mga developer mula sa Mozilla ay agad na nag-publish ng pag-update ng Firefox 124.0.1, na inaalis ang mga natukoy na problema.
- Apat na pag-atake sa Chrome, na nagpapahintulot sa code na maisakatuparan sa system kapag binubuksan ang isang espesyal na idinisenyong pahina (isang award na 85 at 60 thousand dollars bawat isa, dalawang award na 42.5 thousand). Ang mga kahinaan ay sanhi ng pag-access sa memorya pagkatapos ng libre, out-of-buffer na pagbabasa, at maling pagpapatunay ng input. Ang tatlong pagsasamantala ay pangkalahatan at gumagana hindi lamang sa Chrome, kundi pati na rin sa Edge.
- Isang pag-atake sa Apple Safari na nagpapahintulot na maisagawa ang code sa system kapag binubuksan ang isang espesyal na idinisenyong pahina (ginawad na $60). Ang kahinaan ay sanhi ng isang integer overflow.
- Apat na hack ng Oracle VirtualBox na nagpapahintulot sa iyo na lumabas sa guest system at magsagawa ng code sa host side (isang award na 90 thousand dollars at tatlong award na 20 thousand dollars). Ang mga pag-atake ay isinagawa sa pamamagitan ng pagsasamantala sa mga kahinaan na dulot ng mga buffer overflow, kundisyon ng lahi, at pag-access sa memorya pagkatapos ng libre.
- Isang pag-atake sa Docker na nagbigay-daan sa iyong makatakas mula sa isang nakahiwalay na lalagyan (award ng 60 thousand dollars). Ang kahinaan ay sanhi ng isang memory access pagkatapos ng libre.
- Dalawang pag-atake sa VMWare Workstation na nagbigay-daan sa pag-log out sa guest system at pag-execute ng code sa host side. Gumamit ang mga pag-atake ng memory access pagkatapos ng libre, buffer overflow, at isang uninitialized variable (mga premium na $30 at $130).
- Limang pag-atake sa Microsoft Windows 11 na nagbigay-daan sa iyong dagdagan ang iyong mga pribilehiyo (tatlong bonus na 15 libong dolyar, at isang bonus na 30 libo at 7500 dolyar bawat isa). Ang mga kahinaan ay sanhi ng mga kundisyon ng lahi, pag-apaw ng integer, maling pagbibilang ng sanggunian, at maling pagpapatunay ng input.
- Pagpapatupad ng code kapag nagpoproseso ng nilalaman sa Adobe Reader ($50 thousand award). Sinamantala ng pag-atake ang isang kahinaan na nagpapahintulot sa pag-bypass sa mga paghihigpit sa API at isang bug na nagpapahintulot sa pagpapalit ng command.
- Isang pag-atake sa sistema ng impormasyon ng isang Tesla car, na isinasagawa sa pamamagitan ng pagmamanipula ng CAN BUS bus at nagbibigay-daan upang makamit ang isang integer overflow at makakuha ng access sa ECU (electronic control unit). Ang award ay umabot sa 200 libong dolyar at isang Tesla Model 3 na kotse.
- Ang mga pagtatangkang i-hack ang Microsoft SharePoint at VMware ESXi ay hindi nagtagumpay.
Ang eksaktong mga bahagi ng problema ay hindi pa naiulat; alinsunod sa mga tuntunin ng kumpetisyon, ang detalyadong impormasyon tungkol sa lahat ng ipinakitang 0-araw na mga kahinaan ay mai-publish lamang pagkatapos ng 90 araw, na ibinibigay sa mga tagagawa upang maghanda ng mga update na nag-aalis ng mga kahinaan.
Pinagmulan: opennet.ru