Pwn2Own проводится ежегодно и собирает исследователей безопасности со всего мира. На 15 юбилейном мероприятии 17 исследователей пытались провести эксплуатацию 21 целей, разбитых на несколько категорий.
В первый день состязания хакерам удалось успешно взломать Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Microsoft Windows 11, Apple Safari и Ubuntu Desktop. Microsoft Teams и Ubuntu Desktop были успешно взломаны во время дня. Все попытки эксплуатации в течение этого дня оказались успешными.
Во второй день исследователи взломали мультимедийную систему Tesla Model 3, Microsoft Windows 11 и дважды Ubuntu Desktop. Две попытки взлома Microsoft Windows 11 и Tesla в этот день потерпели неудачу.
В третий день хакеры успешно провели атаку на Windows 11 и Ubuntu Desktop. Исследователи провели эксплуатации Windows 11 три раза, и все попытки оказались результативными.
Mozilla уже выпустила обновления для своих продуктов: Firefox 100.0.2, Firefox ESR 91.9.1, Firefox для Android 100.3 и Thunderbird 91.9.1.
Рассмотрим подробнее атаки на Windows 11:
- Марцин Визовски (Marcin Wizowski) смог добиться повышения привилегий Microsoft Windows 11 с помощью выхода за границы записи.
- Phan Thanh Duy из сингапурского STAR Labs удалось повысить привилегий в Microsoft Windows 11 с использованиям уязвимости использования данных после освобождения памяти.
- T0 смог успешно продемонстрировать ошибку некорректного управления доступом, приводящую к повышению привилегий в Microsoft Windows 11.
- nghiadt12 из Viettel Cyber Security смог успешно продемонстрировать повышение привилегий через целочисленное переполнение в Microsoft Windows 11.
- vinhthp1712 успешно повысил привилегии с помощью несанкционированного контроля доступа в Microsoft Windows 11.
- В последней попытке конкурса Bruno PUJOS (@brunopujos) из REverse Tactics успешно достиг повышения привилегий с помощью использования данных после освобождения памяти в Microsoft Windows 11.
Ожидается, что Microsoft выпустит обновления безопасности для Windows 11 в ближайшие недели, скорее всего, во Вторник Патчей, 14 июня 2022 года. Критические проблемы безопасности могут быть исправлены компанией раньше, поскольку экстренные обновления могут быть выпущены в любое время.
По данным веб-сайта Zero Initiate, вендоры, чьи продукты были взломаны, получили «90 дней на исправление проблем», до того, как информация о них будет раскрыта.
Вы можете ознакомиться с полным обзором мероприятия по ссылке. Там вы найдете дополнительные сведения о конкретных взломах или ссылки на хакерские профили исследователей безопасности, участвовавших в мероприятии.
Угрозы безопасности
• Браузеры Firefox и Microsoft Edge утратили доверие к корневым сертификатам TrustCor
• Очередная утечка в LastPass: на этот раз украдены пользовательские данные
• Поддельный MSI Afterburner заражает ПК Windows майнерами и стиллерами
• Dropbox раскрыл сведения об взломе с кражей 130 репозиториев GitHub
• Apple исправила уязвимость нулевого дня, затрагивающую старые iPhone и iPad
• Обнаружена масштабная вредоносная кампания по распространению вредоносного ПО с использованием поддельных сайтов