Windows 10, Ubuntu, Chrome и Zoom были взломаны на соревновании Pwn2Own

2021-04-09 7641 комментарии
На популярном соревновании хакеров Pwn2Own были взломаны операционные системы Window 10, Ubuntu, а так же программы Google Chrome и Zoom

Первым, кто продемонстрировал успешный эксплойт Windows 10 и заработал 40 000 долларов, был участник Тао Ян из компании Palo Alto Networks, который использовал ошибку Race Condition для повышения привилегий от обычного пользователя к SYSTEM на полностью исправном компьютере с Windows 10.

Во второй раз Windows 10 взломали с использованием недокументированной уязвимости целочисленного переполнения для повышения разрешений до NT Authority\SYSTEM. Успешный взлом продемонстрировал участник с ником z3r09. Он так же заработал 40 000 долларов после того как повысил привилегия от обычного (непривилегированного) пользователя.

Операционная система компании Microsoft была взломана в третий раз в течение первого дня соревнования Pwn2Own командой Viettel, которая повысила привилегии обычного пользователя до SYSTEM, используя еще одну ранее неизвестную ошибку переполнения целых чисел.

Команда Viettel также продемонстрировала цепочку эксплойтов выполнения кода на сервере Microsoft Exchange Server на второй день соревнований. Тем не менее, их участие было сочтено частично успешным, учитывая, что некоторые из использованных ими ошибок были ранее сообщены в первый день соревнований командой Devcore.

На второй день соревнований исследователи Бруно Кейт и Никлас Баумстарк из компании Dataflow Security также заработали 100 000 долларов за обнаружение уязвимости, использующей ошибки несоответствия типов в браузерах Google Chrome и Microsoft Edge на основе Chromium.

Не обошли стороной и Zoom, программа была взломана исследователями Daan Keuper и Thijs Alkemade из компании Computest. Они заработали 200 000 долларов, добившись выполнения кода на целевой машине с помощью цепочки эксплойтов, объединяющей три различных ошибки.

И последнее, но не менее важное: операционная система Ubuntu Desktop во второй раз была взломана исследователем Манфредом Полом, который сумел получить привилегии root и заработал 30 000 долларов.

В течение первых двух дней соревнования Pwn2Own 2021 исследователи безопасности впервые превысили отметку в 1 миллион долларов после успешной демонстрации эксплойтов, которые в общей сложности принесли им 1 060 000 долларов.

После того, как уязвимости будут использованы и раскрыты на Pwn2Own, поставщикам программного и аппаратного обеспечения дается 90 дней на то, чтобы выпустить исправления безопасности для всех обнаруженных уязвимостей.

Общий призовой фонд соревнования Pwn2Own 2021 составляет 1500000 долларов, а так же электромобиль Tesla Model 3. Однако, согласно общедоступному графику, ни одна из 23 участвующих команд до сих пор не решилась на демонстрацию эксплойта, нацеленного на автомобиль Tesla.

В 2019 году команда Fluoroacetate выиграла электромобиль Tesla Model 3 на соревновании Pwn2Own, взломав информационно-развлекательную систему электромобиля, которая была основана на движке Chromium. Команда Fluoroacetate также заработала 375000 долларов на соревновании Pwn2Own 2019 после успешной демонстрации нескольких эксплойтов, нацеленных на Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox и Microsoft Edge.

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?