Соревнования Pwn2Own являются важным мероприятием в области кибербезопасности, на котором участники демонстрируют свои навыки взлома разнообразных систем и программного обеспечения. В рамках конференции CanSecWest в Ванкувере в 2023 году было продемонстрировано 27 успешных атак на различные цели, среди которых были операционные системы, приложения и даже автомобиль Tesla.
На соревнованиях Pwn2Own 2023 участники продемонстрировали успешные атаки на следующие системы и программы:
- Ubuntu Desktop – 5 взломов, связанных с двойным освобождением памяти, обращением к памяти после освобождения и некорректной работой с указателями.
- Apple macOS – повышение привилегий за счет эксплуатации уязвимости в операционной системе.
- Oracle VirtualBox – 3 взлома с использованием уязвимостей, вызванных обращением к памяти после освобождения, переполнением буфера и чтением из области вне буфера.
- Microsoft Windows 11 – 2 атаки, позволившие повысить свои привилегии с использованием уязвимостей, вызванных обращением к памяти после освобождения и некорректной проверкой входных данных.
- Microsoft Teams – атака с использованием цепочки из двух ошибок.
- Microsoft SharePoint – успешная атака на корпоративную систему.
- VMWare Workstation – взлом с использованием уязвимости, связанной с обращением к памяти после освобождения и неинициализированной переменной.
- Adobe Reader – выполнение кода при обработке контента в программе с помощью сложной цепочки из 6 ошибок.
- Информационно-развлекательная система автомобиля Tesla и Gateway Tesla – 2 атаки, позволившие получить root доступ.
В результате успешных атак на данные системы и программы, участникам соревнований были выплачены вознаграждения на общую сумму 1,035,000 долларов США и автомобиль Tesla Model 3.
Соревнования Pwn2Own играют ключевую роль в обеспечении кибербезопасности и развитии защитных механизмов различных систем и приложений. Благодаря этим мероприятиям специалисты в области кибербезопасности имеют возможность выявить уязвимости, разработать методы их устранения, а также обменяться опытом и знаниями с коллегами по сообществу.
Следует отметить, что хотя успешные атаки на различные системы и программы были продемонстрированы на Pwn2Own 2023, это не означает, что они являются небезопасными. Напротив, выявленные уязвимости позволяют разработчикам улучшить свои продукты и сделать их еще более безопасными для пользователей.
Кроме того, подобные соревнования стимулируют развитие новых технологий и методов обнаружения и устранения уязвимостей, что является одним из основных направлений работы в области кибербезопасности. В целом, мероприятия типа Pwn2Own способствуют укреплению общей кибербезопасности и защите пользователей от возможных атак в цифровом мире.
Угрозы безопасности
• ChimeraWire: новый троян, который имитирует поведение пользователей для раскрутки сайтов
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге