На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 27 Mar 2023.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,063
    Reputations:
    693
    Подведены итоги трёх дней соревнований Pwn2Own 2023, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint и автомобиля Tesla. Всего было продемонстрировано 27 успешных атак, эксплуатирующих ранее неизвестные уязвимости. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,035,000 долларов США и автомобиль. Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3.


    На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Проблемы были вызваны двойным освобождением памяти (одна премия 30 тысяч долларов), обращением к памяти после освобождения (одна премии 30 тысяч долларов), некорректной работой с указателями (одна премия 30 тысяч долларов). В двух демонстрациях были использованы уже известные, но не исправленные уязвимости (две премии по 15 тысяч долларов). Кроме того, была предпринята шестая попытка атаки на Ubuntu, но эксплоит не сработал.

    [​IMG]


    В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

    Другие успешные атаки:

    • Три взлома Oracle VirtualBox, в которых использовались уязвимости, вызванные обращением к памяти после освобождения, переполнением буфера и чтением из области вне буфера (две премии по 40 тысяч долларов и одна премия 80 тысяч долларов за эксплоит из 3 уязвимостей, позволивший выполнить код на стороне хоста).
    • Повышение привилегий в Apple macOS (премия 40 тысяч долларов).
    • Две атаки на Microsoft Windows 11, позволившие повысить свои привилегии (премии по 30 тысяч долларов). Уязвимости были вызванны обращением к памяти после освобождения и некорректной проверкой входных данных.
    • Атака на Microsoft Teams с использованием в эксплоите цепочки из двух ошибок (премия 75 тысяч долларов).
    • Атака на Microsoft SharePoint (премия 100 тысяч долларов).
    • Атака на VMWare Workstation, в которой использовано обращение к памяти после освобождения и неинициализированная переменная (премия 80 тысяч долларов).
    • Выполнение кода при обработке контента в Adobe Reader. Для атаки, обхода sandbox и обращения к запрещённому API использована сложная цепочка из 6 ошибок (премия 50 тысяч долларов).
    • Две атаки на информационно-развлекательную систему автомобиля Tesla и Gateway Tesla, позволившие получить root доступ. Размер первой премии составил 100 тысяч долларов и автомобиль Tesla Model 3, а второй - 250 тысяч долларов.
     
    _________________________
    CyberTro1n and crlf like this.
Loading...