Подведены итоги трёх дней соревнований Pwn2Own 2021, ежегодно проводимых в рамках конференции CanSecWest. Как и в прошлом году соревнования проводились виртуально и атаки демонстрировались online. Из 23 намеченных целей рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Windows 10, Сhrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams и Zoom. Предприняты, но не увенчались успехом, попытки взлома Oracle VirtualBox. Во всех случаях тестировались самые свежие версии программ, включающие все доступные обновления. Суммарный размер выплат составил один миллион двести тысяч долларов США.
На соревнованиях были предприняты три попытки эксплуатации уязвимостей в Ubuntu Desktop. Первая и вторая попытки были засчитаны и атакующим удалось продемонстрировать локальное повышение привилегий через эксплуатацию ранее не известных уязвимостей, связанных с переполнением буфера и двойном освобождении памяти (в каких именно компонентах проблемы пока не сообщается, до раскрытия данных разработчикам даётся 90 дней на исправление ошибок). За данные уязвимости выплачены премии в 30 тыс. долларов.
Третья попытка, предпринятая другой командой в категории локальное превышение привилегий, удалась лишь частично – эксплоит сработал и дал возможность получить доступ root, но атака была зачтена не полностью, так как связанная с уязвимостью ошибка уже была известна разработчикам Ubuntu и обновление с исправлением находилось на стадии подготовки.
Успешная атака также была продемонстрирована для браузеров на основе движка Chromium – Google Chrome и Microsoft Edge. За создание эксплоита, позволяющего выполнить свой код при открытии специально оформленной страницы в Chrome и Edge (был создан один универсальный эксплоит для двух браузеров), была выплачена премия в 100 тысяч долларов. Исправление планируется опубликовать в ближайшие часы, пока известно лишь то, что уязвимость присутствует в процессе, отвечающем за обработку web-контента (renderer). Номинация за взлом Firefox осталась невостребованная.
Другие успешные атаки:
- 200 тысяч долларов за взлом приложения Zoom (удалось выполнив свой код, отправив сообщение другому пользователю, без необходимости совершения со стороны получателя каких-либо действий). Для атаки использовались три уязвимости в Zoom и одна в операционной системе Windows.
- 200 тысяч долларов за взлом Microsoft Exchange (обход аутентификации и локальное повышение привилегий на сервере для получения прав администратора). Другой командной был продемонстрирован ещё один успешно работающий эксплоит, но вторая премия не была выплачена, так как те же ошибки уже были использованы первой командой.
- 200 тысяч долларов за взлом Microsoft Teams (выполнение кода на сервере).
- 100 тысяч долларов за эксплуатацию Apple Safari (целочисленное переполнение в Safari и переполнение буфера в ядре macOS для обхода sendbox и выполнении кода на уровне ядра).
- 140 тысяч долларов за взлом Parallels Desktop (выход из виртуальной машины и выполнение кода в основной системе). Атака совершена через эксплуатацию трёх разных уязвимостей – утечки неинициализированной памяти, переполнения стека и целочисленного переполнения.
- Две премии по 40 тысяч долларов за взломы Parallels Desktop (логическая ошибка и переполнение буфера, позволившие выполнить код во внешней ОС через действия внутри виртуальной машины).
- Три премии по 40 тысяч долларов за три успешных эксплуатации Windows 10 (целочисленное переполнение, обращение к уже освобождённой памяти и состояние гонки, позволившие добиться получения привилегий SYSTEM).