Katru gadu Zero Day Initiative rīko uzlaušanas konkursu “Pwn2Own”, kurā drošības pētnieki var nopelnīt naudu, atklājot nopietnas ievainojamības tādās lielākajās platformās kā Windows un macOS.
Šis 2021. gada Pwn2Own virtuālais pasākums sākās šīs nedēļas sākumā, un tajā tika veikti 23 atsevišķi uzlaušanas mēģinājumi 10 dažādos produktos, tostarp tīmekļa pārlūkprogrammās, virtualizācijas, serveru un citur. Trīs dienu dēka, kas ilgst vairākas stundas dienā, šī gada Pwn2Own pasākums tika tiešraidē straumēts pakalpojumā YouTube.
Pwn2Own 2021 programmā Apple produkti nebija īpaši mērķēti, taču pirmajā dienā Džeks Deitss no RET2 Systems veica Safari kodola nulles dienas ekspluatāciju un nopelnīja 100 000 USD. Viņš izmantoja veselu skaitļu pārpildīšanu programmā Safari un OOB rakstīšanu, lai iegūtu kodola līmeņa koda izpildi, kā parādīts tālāk esošajā tvītā.
Apsveicu Džeku! Apple Safari 1 klikšķa nolaišana uz kodola nulles dienu plkst # Pwn2Own 2021 RET2 vārdā: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 sistēmas (@ret2systems) 2021. gada 6. aprīlis
Citi uzlaušanas mēģinājumi Pwn2Own notikuma laikā bija vērsti uz Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome un Microsoft Edge.
Nopietnu tālummaiņas trūkumu demonstrēja, piemēram, Nīderlandes pētnieki Daan Keuper un Thijs Alkemade. Duets izmantoja trīs trūkumus, lai iegūtu pilnīgu kontroli pār mērķa datoru, izmantojot lietotni Zoom bez lietotāja mijiedarbības.
Mēs joprojām apstiprinām sīkāku informāciju par #Tālummaiņa Exploit ar Daan un Thijs, bet šeit ir labāks gif par kļūdu darbībā. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Nulles dienas iniciatīva (@thezdi) 2021. gada 7. aprīlis
Pwn2Own dalībnieki saņēma vairāk nekā 1,2 miljonus dolāru atlīdzībā par atklātajām kļūdām. Pwn2Own sniedz pārdevējiem, piemēram, Apple, 90 dienas, lai izstrādātu atklāto ievainojamību labojumus, tāpēc mēs varam sagaidīt, ka kļūda tiks novērsta atjauninājumā ne pārāk tālā nākotnē.
Populārākas Posts