Κάθε χρόνο, η Πρωτοβουλία Zero Day φιλοξενεί έναν διαγωνισμό πειρατείας «Pwn2Own», όπου οι ερευνητές ασφαλείας μπορούν να κερδίσουν χρήματα για την εύρεση σοβαρών τρωτών σημείων σε μεγάλες πλατφόρμες όπως τα Windows και το macOS.
Αυτή η εικονική εκδήλωση Pwn2Own 2021 ξεκίνησε νωρίτερα αυτή την εβδομάδα και παρουσίασε 23 ξεχωριστές απόπειρες hacking σε 10 διαφορετικά προϊόντα, συμπεριλαμβανομένων προγραμμάτων περιήγησης ιστού, εικονικοποίησης, διακομιστών και πολλά άλλα. Μια τριήμερη υπόθεση που εκτείνεται σε πολλές ώρες την ημέρα, η φετινή εκδήλωση Pwn2Own μεταδόθηκε ζωντανά στο YouTube.
Τα προϊόντα της Apple δεν στοχεύτηκαν έντονα στο Pwn2Own 2021, αλλά την πρώτη μέρα, ο Jack Dates από τη RET2 Systems εκτέλεσε ένα Safari στον πυρήνα zero-day exploit και κέρδισε ο ίδιος $100.000. Χρησιμοποίησε μια υπερχείλιση ακέραιου αριθμού στο Safari και μια εγγραφή OOB για την εκτέλεση κώδικα σε επίπεδο πυρήνα, όπως φαίνεται στο παρακάτω tweet.
Συγχαρητήρια Τζακ! Προσγείωση ενός Apple Safari με 1 κλικ στο Kernel Zero-day at #Pwn2Own 2021 εκ μέρους του RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Συστήματα RET2 (@ret2systems) 6 Απριλίου 2021
Άλλες απόπειρες hacking κατά τη διάρκεια της εκδήλωσης Pwn2Own στόχευσαν τα Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome και Microsoft Edge.
Για παράδειγμα, οι Ολλανδοί ερευνητές Daan Keuper και Thijs Alkemade απέδειξαν ένα σοβαρό ελάττωμα του Zoom. Το δίδυμο εκμεταλλεύτηκε μια τριάδα ελαττωμάτων για να αποκτήσει τον απόλυτο έλεγχο ενός υπολογιστή-στόχου χρησιμοποιώντας την εφαρμογή Zoom χωρίς αλληλεπίδραση με τον χρήστη.
Εξακολουθούμε να επιβεβαιώνουμε τις λεπτομέρειες του #Ανίπταμαι διαγωνίως εκμεταλλευτείτε με τους Daan και Thijs, αλλά εδώ είναι ένα καλύτερο gif του σφάλματος σε δράση. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Πρωτοβουλία Zero Day (@thezdi) 7 Απριλίου 2021
Οι συμμετέχοντες στο Pwn2Own έλαβαν περισσότερα από 1,2 εκατομμύρια δολάρια σε ανταμοιβές για τα σφάλματα που ανακάλυψαν. Το Pwn2Own δίνει σε προμηθευτές όπως η Apple 90 ημέρες για να δημιουργήσουν μια επιδιόρθωση για τα τρωτά σημεία που αποκαλύφθηκαν, ώστε να περιμένουμε ότι το σφάλμα θα αντιμετωπιστεί σε μια ενημέρωση στο όχι και τόσο μακρινό μέλλον.
Δημοφιλείς Αναρτήσεις