Соревнования Pwn2Own являются важным мероприятием в области кибербезопасности, на котором участники демонстрируют свои навыки взлома разнообразных систем и программного обеспечения. В рамках конференции CanSecWest в Ванкувере в 2023 году было продемонстрировано 27 успешных атак на различные цели, среди которых были операционные системы, приложения и даже автомобиль Tesla.
На соревнованиях Pwn2Own 2023 участники продемонстрировали успешные атаки на следующие системы и программы:
- Ubuntu Desktop – 5 взломов, связанных с двойным освобождением памяти, обращением к памяти после освобождения и некорректной работой с указателями.
- Apple macOS – повышение привилегий за счет эксплуатации уязвимости в операционной системе.
- Oracle VirtualBox – 3 взлома с использованием уязвимостей, вызванных обращением к памяти после освобождения, переполнением буфера и чтением из области вне буфера.
- Microsoft Windows 11 – 2 атаки, позволившие повысить свои привилегии с использованием уязвимостей, вызванных обращением к памяти после освобождения и некорректной проверкой входных данных.
- Microsoft Teams – атака с использованием цепочки из двух ошибок.
- Microsoft SharePoint – успешная атака на корпоративную систему.
- VMWare Workstation – взлом с использованием уязвимости, связанной с обращением к памяти после освобождения и неинициализированной переменной.
- Adobe Reader – выполнение кода при обработке контента в программе с помощью сложной цепочки из 6 ошибок.
- Информационно-развлекательная система автомобиля Tesla и Gateway Tesla – 2 атаки, позволившие получить root доступ.
В результате успешных атак на данные системы и программы, участникам соревнований были выплачены вознаграждения на общую сумму 1,035,000 долларов США и автомобиль Tesla Model 3.
Соревнования Pwn2Own играют ключевую роль в обеспечении кибербезопасности и развитии защитных механизмов различных систем и приложений. Благодаря этим мероприятиям специалисты в области кибербезопасности имеют возможность выявить уязвимости, разработать методы их устранения, а также обменяться опытом и знаниями с коллегами по сообществу.
Следует отметить, что хотя успешные атаки на различные системы и программы были продемонстрированы на Pwn2Own 2023, это не означает, что они являются небезопасными. Напротив, выявленные уязвимости позволяют разработчикам улучшить свои продукты и сделать их еще более безопасными для пользователей.
Кроме того, подобные соревнования стимулируют развитие новых технологий и методов обнаружения и устранения уязвимостей, что является одним из основных направлений работы в области кибербезопасности. В целом, мероприятия типа Pwn2Own способствуют укреплению общей кибербезопасности и защите пользователей от возможных атак в цифровом мире.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах