Każdego roku Inicjatywa Zero Day organizuje konkurs hakerski „Pwn2Own”, w którym badacze bezpieczeństwa mogą zarabiać na znajdowaniu poważnych luk w zabezpieczeniach głównych platform, takich jak Windows i macOS.
To wirtualne wydarzenie Pwn2Own 2021 rozpoczęło się na początku tego tygodnia i obejmowało 23 oddzielne próby włamania do 10 różnych produktów, w tym przeglądarek internetowych, wirtualizacji, serwerów i innych. Trzydniowe wydarzenie, które trwa wiele godzin dziennie, tegoroczne wydarzenie Pwn2Own było transmitowane na żywo na YouTube.
Produkty Apple nie były mocno atakowane w Pwn2Own 2021, ale pierwszego dnia Jack Dates z RET2 Systems wykonał Safari do exploita zero-day jądra i zarobił 100 000 dolarów. Użył przepełnienia liczby całkowitej w Safari i zapisu OOB, aby uzyskać wykonanie kodu na poziomie jądra, jak pokazano w poniższym tweecie.
Gratulacje Jacku! Lądowanie 1-kliknij Apple Safari do Kernel Zero-day w # Pwn2Własne 2021 w imieniu RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Systemy RET2 (@ret2systems) 6 kwietnia 2021
Inne próby hakerskie podczas wydarzenia Pwn2Own dotyczyły Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome i Microsoft Edge.
Poważną wadę Zoom wykazali m.in. holenderscy badacze Daan Keuper i Thijs Alkemade. Duet wykorzystał trzy błędy, aby uzyskać całkowitą kontrolę nad docelowym komputerem za pomocą aplikacji Zoom bez interakcji użytkownika.
Nadal potwierdzamy szczegóły #Powiększenie exploit z Daanem i Thijsem, ale oto lepszy gif błędu w akcji. # Pwn2Własne #PopCalc pic.twitter.com/nIdTwik9aW — Inicjatywa Zero Day (@thezdi) 7 kwietnia 2021
Uczestnicy Pwn2Own otrzymali ponad 1,2 miliona dolarów nagród za wykryte błędy. Pwn2Own daje producentom takim jak Apple 90 dni na opracowanie poprawki dla wykrytych luk, więc możemy spodziewać się, że błąd zostanie naprawiony w aktualizacji w niezbyt odległej przyszłości.
Popularne Wiadomości