پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > Ubuntu، Chrome، Safari، Parallels اور Microsoft کی مصنوعات کو Pwn2Own 2021 مقابلے میں ہیک کیا گیا تھا۔

Ubuntu، Chrome، Safari، Parallels اور Microsoft کی مصنوعات کو Pwn2Own 2021 مقابلے میں ہیک کیا گیا تھا۔

CanSecWest کانفرنس کے ایک حصے کے طور پر سالانہ منعقد ہونے والے Pwn2Own 2021 مقابلے کے تین دنوں کے نتائج کا خلاصہ کیا گیا ہے۔ پچھلے سال کی طرح، یہ مقابلہ عملی طور پر منعقد کیا گیا تھا اور حملوں کا مظاہرہ آن لائن کیا گیا تھا۔ 23 ہدف بنائے گئے اہداف میں سے، اوبنٹو ڈیسک ٹاپ، ونڈوز 10، کروم، سفاری، متوازی ڈیسک ٹاپ، مائیکروسافٹ ایکسچینج، مائیکروسافٹ ٹیمز اور زوم کے لیے سابقہ ​​نامعلوم کمزوریوں سے فائدہ اٹھانے کے لیے کام کرنے کی تکنیکوں کا مظاہرہ کیا گیا۔ تمام صورتوں میں، پروگراموں کے تازہ ترین ورژن کی جانچ کی گئی، بشمول تمام دستیاب اپ ڈیٹس۔ ادائیگیوں کی کل رقم ایک ملین دو لاکھ امریکی ڈالر تھی (کل انعامی فنڈ ڈیڑھ ملین ڈالر تھا)۔

مقابلے میں، Ubuntu ڈیسک ٹاپ میں کمزوریوں سے فائدہ اٹھانے کی تین کوششیں کی گئیں۔ پہلی اور دوسری کوششیں درست تھیں اور حملہ آور بفر اوور فلو اور ڈبل فری میموری سے متعلق پہلے کی نامعلوم کمزوریوں کا فائدہ اٹھا کر مراعات کے مقامی اضافے کا مظاہرہ کرنے کے قابل تھے (جن کے مسائل کے اجزاء ابھی تک رپورٹ نہیں ہوئے ہیں؛ ڈویلپرز کو درست کرنے کے لیے 90 دن کا وقت دیا گیا ہے۔ ڈیٹا کو ظاہر کرنے سے پہلے غلطیاں)۔ ان کمزوریوں کے لیے $30 کے بونس ادا کیے گئے۔

تیسری کوشش، مقامی استحقاق کے غلط استعمال کے زمرے میں ایک اور ٹیم کی طرف سے کی گئی، صرف جزوی طور پر کامیاب رہی - اس استحصال نے کام کیا اور جڑ تک رسائی حاصل کرنا ممکن بنا دیا، لیکن حملے کو مکمل طور پر تسلیم نہیں کیا گیا، کیونکہ خطرے سے منسلک غلطی پہلے ہی معلوم تھی۔ Ubuntu ڈویلپرز کو اور ایک فکس کے ساتھ ایک اپ ڈیٹ تیاری کے مراحل میں تھا۔

کرومیم انجن - گوگل کروم اور مائیکروسافٹ ایج پر مبنی براؤزرز کے لیے بھی ایک کامیاب حملے کا مظاہرہ کیا گیا۔ کروم اور ایج میں خصوصی طور پر ڈیزائن کیا گیا صفحہ کھولنے پر آپ کو اپنے کوڈ پر عمل درآمد کرنے کی اجازت دینے والا استحصال بنانے کے لیے (ایک عالمگیر استحصال دو براؤزرز کے لیے بنایا گیا تھا)، 100 ہزار ڈالر کا انعام دیا گیا۔ فکس کو آنے والے گھنٹوں میں شائع کرنے کا منصوبہ بنایا گیا ہے، اب تک جو کچھ معلوم ہے وہ یہ ہے کہ ویب مواد (رینڈرر) کی پروسیسنگ کے ذمہ دار عمل میں کمزوری موجود ہے۔

دوسرے کامیاب حملے:

  • زوم ایپلیکیشن کو ہیک کرنے کے لیے $200 ہزار (وصول کنندہ کی جانب سے کسی کارروائی کی ضرورت کے بغیر، دوسرے صارف کو پیغام بھیج کر اس کے کوڈ پر عمل کرنے میں کامیاب ہوا)۔ حملے میں زوم میں تین اور ونڈوز آپریٹنگ سسٹم میں ایک کمزوری کا استعمال کیا گیا۔
  • مائیکروسافٹ ایکسچینج کو ہیک کرنے کے لیے $200 ہزار (توثیق کو نظرانداز کرتے ہوئے اور سرور پر مقامی طور پر مراعات کو بڑھانا تاکہ منتظم کے حقوق حاصل کیے جا سکیں)۔ ایک اور کامیابی سے کام کرنے والے کارنامے کا ایک اور ٹیم کو مظاہرہ کیا گیا، لیکن دوسرا انعام ادا نہیں کیا گیا، کیونکہ وہی غلطیاں پہلے ہی پہلی ٹیم استعمال کر چکی تھیں۔
  • مائیکروسافٹ ٹیموں کو ہیک کرنے کے لیے $200 ہزار (سرور پر کوڈ کا نفاذ)۔
  • Apple Safari کا استحصال کرنے کے لیے $100 ہزار (سفاری میں انٹیجر اوور فلو اور سینڈ باکس کو بائی پاس کرنے اور کرنل کی سطح پر کوڈ پر عمل کرنے کے لیے macOS کرنل میں بفر اوور فلو)۔
  • Parallels Desktop کو ہیک کرنے کے لیے $140 ہزار (ورچوئل مشین سے باہر نکلنا اور مین سسٹم پر کوڈ پر عمل کرنا)۔ یہ حملہ تین مختلف کمزوریوں کے استحصال کے ذریعے کیا گیا - غیر شروع شدہ میموری لیک، اسٹیک اوور فلو اور انٹیجر اوور فلو۔
  • Parallels Desktop کو ہیک کرنے کے لیے 40 ہزار ڈالرز کے دو انعامات (ایک منطقی غلطی اور ایک بفر اوور فلو جس نے کوڈ کو ایک ورچوئل مشین کے اندر کارروائیوں کے ذریعے ایکسٹرنل OS میں کام کرنے کی اجازت دی)۔
  • ونڈوز 40 کے تین کامیاب کارناموں کے لیے 10 ہزار ڈالر کے تین انعامات (انٹیجر اوور فلو، پہلے سے آزاد میموری تک رسائی اور ایک ریس کی شرط جس سے سسٹم کی مراعات حاصل کی جاسکتی ہیں)۔

اوریکل ورچوئل باکس کو ہیک کرنے کی کوششیں کی گئیں، لیکن ناکام رہیں۔ Firefox، VMware ESXi، Hyper-V کلائنٹ، MS Office 365، MS SharePoint، MS RDP اور Adobe Reader کو ہیک کرنے کے لیے نامزدگیوں کا دعویٰ نہیں کیا گیا۔ 600 ہزار ڈالر کے علاوہ ٹیسلا ماڈل 3 کار کے انعام کے باوجود کوئی بھی ٹیسلا کار کے انفارمیشن سسٹم کی ہیکنگ کا مظاہرہ کرنے کو تیار نہیں تھا۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں