По време на състезанието Pwn2Own 2021 бяха хакнати Ubuntu, Chrome, Safari, Parallels и редица продукти на Microsoft

По време на състезанието Pwn2Own 2021 бяха хакнати Ubuntu, Chrome, Safari, Parallels и редица продукти на Microsoft

Излязоха резултатите от хакерското състезание Pwn2Own 2021, което се провежда всяка година в рамките на събитието CanSecWest. Както и миналата година състезанието протече виртуално и хакерските атаки бяха демонстрирани онлайн. От 23-те набелязани цели с помощта на неизвестни досега уязвимости бяха осъществени пробиви в Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams и Zoom. Във всички случаи са използвани най-новите версии на програмите с инсталирани всички достъпни обновявания. За успешно осъществените хакерски атаки бяха заплатени общо $1,2 милиона, като общият награден фонд бе $1,5 милиона.

По време на състезанието бяха направени три опита за използване на уязвимости в Ubuntu Desktop. Първата и втората атака бяха одобрени от журито и показаха локално повишаване на привилегиите чрез използване на неизвестни досега уязвимости свързани с препълване на буфера и двойно освобождаване на паметта. Не се съобщават повече подробности, а на Ubuntu разработчиците бяха дадени 90 дни за оправяне на откритите бъгове. За откритите уязвимости хакерите получиха награди от по $30 хиляди.

Третият опит, предприет от друг хакерски екип, също от категорията за локално превишаване на правата, бе частично успешен. Използваният експлойт успешно сработи и даде възможност за получаването на root достъп, но атаката не бе одобрена изцяло, понеже свързаната с тази уязвимост грешка вече бе известна на разработчиците на Ubuntu и съответното обновяване за оправянето на този бъг е било вече готово.

Демонстрирани бяха успешни атаки и на браузърите на базата на Chromium енджина – Google Chrome и Microsoft Edge. За двата браузъра бе показан един общ експлойт, за което бе платена награда в размер на $100 хиляди.



Източник: www.kaldata.com