Подведены итоги двух дней соревнований Pwn2Own 2024, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были разработаны для Ubuntu Desktop, Windows 11, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge и автомобиля Tesla. Всего были продемонстрированы 23 успешные атаки, эксплуатирующие 29 ранее неизвестных уязвимостей.
При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,132,500 долларов США. За взлом Tesla дополнительно вручён автомобиль Tesla Model 3. Размер выплаченных вознаграждений за три последние соревнования Pwn2Own составил 3,494,750 долларов. Команда, набравшая наибольшее число очков, получила 202 тысячи долларов.
Осуществлённые атаки:
- Четыре успешные атаки на Ubuntu Desktop, позволившие непривилегированному пользователю получить права root (по одной премии в 20 и 10 тысяч долларов, две премии в 5 тысяч долларов). Уязвимости вызваны состоянием гонки и переполнением буфера.
- Атака на Firefox, позволившая обойти sandbox-изоляцию и выполнить код в системе при открытии специально оформленной страницы (премия 100 тысяч долларов). Уязвимость вызвана ошибкой, позволившей прочитать и записать данные в область за границей буфера, выделенного для объекта JavaScript, а также возможностью подстановки обработчика события в привилегированный JavaScript-объект. По горячим следам разработчики из Mozilla оперативно опубликовали обновление Firefox 124.0.1 с устранением выявленных проблем.
- Четыре атаки на Chrome, позволившие выполнить код в системе при открытии специально оформленной страницы (по одной премии в 85 и 60 тысяч долларов, две премии 42.5 тысячи). Уязвимости вызваны обращением к памяти после освобождения, чтением из области вне буфера и некорректной проверкой входных данных. Три эксплоита универсальны и работают не только в Chrome, но и в Edge.
- Атака на Apple Safari, позволившая выполнить код в системе при открытии специально оформленной страницы (премия 60 тысяч долларов). Уязвимость вызвана целочисленным переполнением.
- Четыре взлома Oracle VirtualBox, позволивших выйти из гостевой системы и выполнить код на стороне хост-окружения (одна премия 90 тысяч долларов и три премии по 20 тысяч долларов). Атаки были совершены с использование уязвимостей, вызванных переполнением буфера, состоянием гонки и обращением к памяти после освобождения.
- Атака на Docker, позволившая выйти из изолированного контейнера (премия 60 тысяч долларов). Уязвимость вызвана обращением к памяти после освобождения.
- Две атаки на VMWare Workstation, позволившие выйти из гостевой системы и выполнить код на стороне хост-окружения. В атаках использованы обращение к памяти после освобождения, переполнение буфера и неинициализированная переменная (премии 30 и 130 тысяч долларов).
- Пять атак на Microsoft Windows 11, позволивших повысить свои привилегии (три премии 15 тысяч долларов, и по одной премии в 30 тысяч и 7500 долларов). Уязвимости были вызваны состоянием гонки, целочисленным переполнением, неверным подсчётом ссылок и некорректной проверкой входных данных.
- Выполнение кода при обработке контента в Adobe Reader (премия 50 тысяч долларов). Для атаки использовалась уязвимость, позволившая обойти ограничения API, и ошибка, допускавшая подстановку команд.
- Атака на информационную систему автомобиля Tesla, проведённая через манипуляцию с шиной CAN BUS и позволившая добиться целочисленного переполнения и получить доступ к ECU (electronic control unit). Размер премии составил 200 тысяч долларов и автомобиль Tesla Model 3.
- Попытки взлома Microsoft SharePoint и VMware ESXi не увенчались успехом.
В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.