Конкурс хакеров Pwn2Own на весну 2020 завершен. В этом году победителем стала команда по фторацетату, в состав которой входят следователи по безопасности Амат Кама и Ричард Чжу. Команда, набравшая девять очков за два дня соревнований, доминировала и заняла четвертое место в серии турниров.
Конкурс этого года - знаменательное событие. Это связано с тем, что на конференции по кибербезопасности проходит весенняя версия конкурса хакеров Pwn2Own. CanSecWest проводится каждую весну в Ванкувере, Канада, в этом году все было иначе.
Из-за пандемии Коронадо и ограничений на поездки, наложенных на многие страны мира, многие исследователи в области безопасности не смогли присутствовать или не хотели ехать в Ванкувер, полагая, что они могут поставить под угрозу свое здоровье.
Напротив, в этом году хакерский конкурс Pwn2Own стал первым хакерским конкурсом, проводимым в виртуальной среде.
Участники заранее отправили привилегии организаторам Pwn2Own, которые запускали код в прямом эфире со всеми присутствующими участниками.
За два дня соревнований шести командам удалось прорваться приложений и операционные системы такие как Windows, MacOS, Ubuntu, Safari, Adobe Reader и Oracle VirtualBox. все ошибки которые были использованы во время конкурса, были немедленно доведены до сведения соответствующих компаний.
Результаты двухдневных соревнований приведены ниже с разбивкой по групповым усилиям.
ПЕРВЫЙ ДЕНЬ
Ферма № 1: Команда Yong Hwi Jin (@ jinmo123), Jungwon Lim (@ setuid0x0_) и японского Insu Yun (@insu_yun_en) нацелены Apple Safari уменьшая преимущества ядра macOS. Операция прошла успешно. Техническая команда Джорджии использовала шесть ошибок, чтобы открыть приложение калькулятора на MacOS и активизировать свои права доступа к корень, Команда заработала $ 70.000 7 и XNUMX очков Master of Pwn.
Ферма № 2: Исследователь безопасности Flourescence (Ричард Чжу) нацелен на Microsoft Windows, масштабируя локальные привилегии. Операция прошла успешно. Ветеран хакерского конкурса Pwn2Own использовал уязвимость «использование после освобождения» Windows наращивать привилегии. Заработайте $ 40.000 и 4 очка Master of Pwn.
Ферма № 3: Манфред Пол из команды RedRocket CTF нацелен Ubuntu Desktop с наращиванием локальных привилегий. Операция прошла успешно. Новичок в конкурсе хакеров Pwn2Own использовал ошибку проверки записи для повышения привилегий. Таким образом, он заработал $ 30.000 3 и XNUMX очка Master of Pwn.
Ферма № 4: Команда Флюорацетата Амат Кама и Ричард Чжу были нацелены на них Microsoft Windows с масштабированием локальных привилегий. Операция прошла успешно. Победители Master of Pwn воспользовались ошибкой Windows, чтобы нарушить СИСТЕМА, Они заработали $ 40.000 4 и XNUMX очка Master of Pwn.
ВТОРОЙ ДЕНЬ
Ферма № 5: Пхи Пхэм Хонг (@ 4nhdaden) из STAR Labs (@starlabs_sg) - мишень Oracle VirtualBox в категории виртуализации. Операция прошла успешно. Исследователь использовал ошибку чтения вне пределов для утечки информации и неподготовленную переменную для выполнения кода в гипервизор VirtualBox. Заработайте $ 40.000 и 4 очка Master of Pwn.
Ферма № 6: Команда Флюорацетата Амат Кама и Ричард Чжу были нацелены на него Adobe Reader путем увеличения локальных привилегий Windows. Эксплуатация прошла успешно. Дуэт фторацетата использовал два использовать после освобождения ошибки - один в акробат и один в ядре Windows - для масштабирования привилегий и системных нарушений. Команда выиграла $ 50.000 5 и XNUMX очков Master of Pwn.
Ферма № 7: Команда Synacktiv из Корентин Байет (@OnlyTheDuck) и Бруно Пуджос (@BrunoPujos) нацелилась на него VMware Workstation в категории виртуализации. Попытка эксплуатации не удалась. Команда не представила свою эксплуатацию в течение требуемого времени.
Greek
Chinese (Simplified)
English
Greek
Russian