На Pwn2Own 2021 взломали Ubuntu, Windows 10, Chrome, Edge и Safari. Хакеры суммарно...

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

На состязании Pwn2Own 2021 по взлому популярного ПО, проходившем три дня с 6 по 8 апреля в рамках конференции CanSecWest, «белые хакеры» предложили 23 цели для атак на 10 различных продуктов в категориях веб-браузеров, виртуализации, серверов, локального повышения привилегий и — новейшей категории — корпоративных коммуникаций. В этом году призовой фонд составил 1,5 миллиона долларов, из которых было выплачено премий на 1,2 миллиона долларов.

• Две из трех попыток взлома Ubuntu Desktop в категории локального повышения привилегий увенчались успехом — хакеры использовали ранее неизвестные уязвимости, связанные с переполнением буфера и двойным освобождением памяти. Подробности станут известны по окончанию стандартного 90-дневного периода, дающего на устранение проблем. В обоих случаях были выплачены премии в 30 тысяч долларов.
• Уязвимость в Chromium, связанная с механизмом обработки web-контента (

  Нужно, войти или зарегистрироваться для просмотра скрытого текста.

  ). Универсальный рабочий эксплоит для Google Chrome и Microsoft Edge принес хакеру 100 тысяч долларов. Исправление

  Нужно, войти или зарегистрироваться для просмотра скрытого текста.

  .
• Голландские хакеры из Computest Security, Даан Кеупер и Тийс Алкемаде, заработали 200 тысяч долларов за взлом Zoom. Им

  Нужно, войти или зарегистрироваться для просмотра скрытого текста.

  удаленно выполнить свой код на устройстве, просто отправив сообщение без необходимости совершения каких-либо действий на стороне получателя. Для этого хакеры использовали три уязвимости в Zoom и еще одну — в ОС Windows.
• Успешный взлом Microsoft Exchange с обходом аутентификации и локальным повышением привилегий на сервере для получения прав администратора — премия в 200 тысяч долларов.
• Взлом Microsoft Teams с удаленным выполнением кода на сервере — премия 200 тысяч долларов.
• Три успешных взлома Windows 10 (три уязвимости — целочисленное переполнение, обращение к уже освобожденной памяти и состояние гонки с повышением привилегий до уровня SYSTEM) — три премии по 40 тысяч долларов.
• Взлом Apple Safari (целочисленное переполнение, переполнение буфера в ядре macOS для обхода песочницы и выполнении кода на уровне ядра) — премия 100 тысяч долларов.
• Взлом Parallels Desktop: Джек Дейтс из RET2 Systems с помощью трех уязвимостей (утечки неинициализированной памяти, переполнения стека и целочисленного переполнения) вышел из виртуальной машины и выполнил код в основной системе, за что получил премию в 140 тысяч долларов. Еще две премии по 40 тысяч долларов за взломы Parallels Desktop получили Сонджу Парк (он же grigoritchy) и Бенджамин Макбрайд из L3Harris Trenchant. Они использовали разные уязвимости (логическая ошибка и переполнение буфера), позволившие выполнить код во внешней ОС через действия внутри виртуальной машины.
• Попытки хакеров взломать Oracle VirtualBox не увенчались успехом.
• Взломать защиту информационной системы Tesla, несмотря на приз в 600 тысяч долларов и Tesla Model 3 в придачу, никто даже не пытался, как не нашлось претендентов на цели по Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP и Adobe Reader.