Pwn2Own 2022 to nowa edycja najważniejszego konkursu hakerskiego na świecie. Wydarzenie odbywa się co roku, a jego celem jest znalezienie krytycznych luk w kontrolowanym środowisku, tak aby dostawcy mogli zwiększyć bezpieczeństwo swoich projektów, zanim zostaną wykorzystane luki.
I chodzi o to, że uczestnicy, najlepsi hakerzy białych kapeluszy na świecie i badacze z największych firm ochroniarskich, zgadzają się udostępniać wszystkie badania prywatnie i nie publikować ich przez co najmniej 90 dni. Z kolei konkurs, którego gospodarzem jest inicjatywa Zero Day Initiative firmy Trend Micro , zapewnia solidne nagrody za to, co uważa się za świetną inwestycję w przewidywanie, co może się wydarzyć w wyniku cyberprzestępczości, zwiększając w ten sposób bezpieczeństwo oprogramowania i urządzeń.
Pwn2Own 2022: nikt się nie opiera
Podobnie jak w poprzednich latach, lista zhakowanego oprogramowania jest tak szeroka, jak liczba docelowych (21 produktów w różnych kategoriach), i nie oszczędza się ani oprogramowania open source, ani oprogramowania zastrzeżonego. Pojazdy Windows 11, Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Apple Safari, Ubuntu Desktop czy Tesla zostały skutecznie zhakowane przez wiele zespołów w ciągu trzech dni trwania wydarzenia.
Windows 11, najnowszy system Microsoftu, był jednym z preferowanych celów badaczy i zademonstrowano sześć udanych exploitów, z których trzy to luki zero-day. Wśród najbardziej interesujących wymieniono eskalację uprawnień za pomocą metod Integer Overflow (przepełnienie bufora) i inną wykorzystującą atak Use-After-Free, który wykorzystuje błędy adresu pamięci do spowodowania odmowy usługi i wykonania kodu, uzyskując pełną kontrolę. polecenia.
Ten sam exploit został wykorzystany przez dwa zespoły do włamania się do systemu z Ubuntu Desktop. Jest to dobrze udokumentowany atak, który wykorzystuje luki w sposobie zarządzania pamięcią przez aplikacje. Trzy dni zero zostały również wykryte w platformie komunikacyjnej Microsoft Teams oraz różnych lukach w przeglądarkach Apple Safari i Mozilla Firefox lub oprogramowaniu do wirtualizacji Oracle Virtualbox.
Zhakowany został również system informacyjno-rozrywkowy pojazdów Tesla 3. Kategoria motoryzacyjna miała swoją premierę na Pwn2Own 2019, ponieważ została uznana za ważny segment w nadejściem inteligentnych/autonomicznych pojazdów. Następnie badacz wykorzystał błąd JIT w procesie renderowania przeglądarki internetowej, aby wykonać kod w oprogramowaniu układowym samochodu i wyświetlić komunikat w jego systemie informacyjno-rozrywkowym. Wziął samochód, który Tesla dał jako nagrodę.
W sumie Pwn2Own 2022 przyznał nagrody w wysokości 1,2 miliona dolarów. Po tym, jak luki zostaną wykorzystane i ujawnione w kontrolowany sposób, producenci oprogramowania i sprzętu mają 90 dni na wydanie odpowiednich łatek bezpieczeństwa dla wszystkich wykrytych luk.
Więcej informacji o Pwn2Own 2022 | Inicjatywa Zero Day
Dodaj komentarz