Підбито підсумки трьох днів змагань Pwn2Own 2021, які щорічно проводяться в рамках конференції CanSecWest. Як і минулого року змагання проводилися віртуально та атаки демонструвалися online. З 23 цілей робочі техніки експлуатації раніше невідомих уразливостей були продемонстровані для Ubuntu Desktop, Windows 10, Сhrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams і Zoom. У всіх випадках тестувалися найсвіжіші версії програм, які включали всі доступні оновлення. Сумарний розмір виплат становив один мільйон двісті тисяч доларів (загальний призовий фонд налічував півтора мільйона доларів).
На змаганнях було здійснено три спроби експлуатації вразливостей в Ubuntu Desktop. Перша та друга спроби були зараховані і атакуючим вдалося продемонструвати локальне підвищення привілеїв через експлуатацію раніше не відомих уразливостей, пов'язаних з переповненням буфера та подвійне звільнення пам'яті (у яких саме компонентах проблеми поки не повідомляється, до розкриття даних розробникам дається 90 днів на виправлення помилок). За дані вразливості виплачено премії 30 тис. доларів.
Третя спроба, здійснена іншою командою в категорії локальне перевищення привілеїв, вдалася лише частково — експлоїт спрацював і дав можливість отримати доступ до root, але атака була зарахована не повністю, оскільки пов'язана з вразливістю помилка вже була відома розробникам Ubuntu і оновлення з виправленням знаходилося на стадії підготовки.
Успішна атака також була продемонстрована для браузерів на основі двигуна Chromium - Google Chrome та Microsoft Edge. За створення експлоїту, що дозволяє виконати свій код при відкритті спеціально оформленої сторінки в Chrome та Edge (було створено один універсальний експлоїт для двох браузерів), було виплачено премію в 100 тисяч доларів. Виправлення планується опублікувати в найближчий час, поки відомо лише те, що вразливість присутня в процесі, що відповідає за обробку web-контенту (renderer).
Інші успішні атаки:
- 200 тисяч доларів за злам програми Zoom (удалося виконати свій код, відправивши повідомлення іншому користувачеві, без необхідності вчинення з боку одержувача будь-яких дій). Для атаки використовувалися три вразливості в Zoom та одна в операційній системі Windows.
- 200 тисяч доларів за злом Microsoft Exchange (обхід аутентифікації та локальне підвищення привілеїв на сервері для отримання прав адміністратора). Іншою командною був продемонстрований ще один успішно працюючий експлоїт, але друга премія не була виплачена, оскільки ті ж помилки вже були використані першою командою.
- 200 тисяч доларів за злам Microsoft Teams (виконання коду на сервері).
- 100 тисяч доларів за експлуатацію Apple Safari (цілочисленне переповнення в Safari та переповнення буфера в ядрі macOS для обходу sandbox та виконання коду на рівні ядра).
- 140 тисяч доларів за злом Parallels Desktop (вихід із віртуальної машини та виконання коду в основній системі). Атака здійснена через експлуатацію трьох різних вразливостей - витоку неініціалізованої пам'яті, переповнення стека та цілісного переповнення.
- Дві премії по 40 тисяч доларів за злами Parallels Desktop (логічна помилка та переповнення буфера, що дозволили виконати код у зовнішній ОС через дії всередині віртуальної машини).
- Три премії по 40 тисяч доларів за три успішні експлуатації Windows 10 (цілочисленне переповнення, звернення до вже звільненої пам'яті та стан гонки, що дозволили домогтися отримання привілеїв SYSTEM).
Зроблено, але не увінчалися успіхом, спроби злому Oracle VirtualBox. Номінації за злом Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP та Adobe Reader залишилися незатребуваними. Також не знайшлося охочих продемонтувати злом інформаційної системи автомобіля Tesla, незважаючи на приз у 600 тисяч доларів плюс автомобіль Tesla Model 3.
Джерело: opennet.ru