Весенняя сессия хакерского конкурса «Pwn2Own» 2021 года завершилась на прошлой неделе 8 апреля трехсторонней конференцией между Team Devcore, OV и исследователями Дааном Койпером и Тийс Алкемаде.
16 громких эксплойтов в ходе трехдневного виртуального мероприятия, организованного Zero Day Initiative (ZDI), были награждены в общей сложности 1,2 миллионами долларов США.
В число целей с успешными попытками взлома входили операционные системы Zoom, Apple Safari, Microsoft Exchange, Microsoft Teams, Parallels Desktop, Windows 10 и Ubuntu Desktop.
Ниже перечислены некоторые из основных моментов мероприятия:
- Использование обхода аутентификации и эскалации локальных привилегий для полного захвата сервера Microsoft Exchange, за который команда Devcore получила $200 000.
- Два бага, использованные для достижения выполнения произвольного кода в Microsoft Teams, принесшие исследователям OV $200 000.
- 0-click эксплойт Zoom, который использовал три ошибки приложения в целях достижения выполнения произвольного кода на целевой системе($200 000).
- Эксплуатация дефекта целочисленного переполнения в Safari и out-of-bounds-записи и выполнение кода на уровне ядра ($100 000).
- Эксплойт Chrome-рендерера, позволивший взломать браузеры Google Chrome и Microsoft Edge (Chromium) ($100 000).
- Применение use-after-free, race-состояния и целочисленной ошибки переполнения в Windows 10 для повышения привилегий от обычного пользователя до SYSTEM ($40 000 каждый).
- Сочетание трех уязвимостей - неинициализированной утечки памяти, переполнения стека и целочисленного переполнения для выхода из Parallels Desktop и выполнения кода на базовой операционной системе ($40 000).
- Использование ошибки повреждения памяти для успешного выполнения кода на хостовой операционной системе из Parallels Desktop ($40 000).
- Эксплуатация out-of-bounds-ошибки доступа для поднятия привилегий от стандартного пользователя до root на Ubuntu Desktop ($30 000)
Уязвимости Zoom, использованные Дааном Койпером и Тийс Алкемаде из Computest Security, особенно примечательны, так как взлом не требует взаимодействия с жертвой кроме ее участия в звонке Zoom. Более того, это касается как Windows, так и Mac версий приложения, хотя неясно - уязвимы ли также версии Android и iOS.
Технические подробности уязвимостей пока не разглашаются, но в объявлении результатов голландская компания по безопасности заявила, что исследователи «смогли почти полностью взять на себя управление системой и выполнить такие действия как включение камеры, включение микрофона, чтение электронной почты, просмотр экрана и загрузка истории браузера».
Разработчики Zoom сообщили, что патч на стороне сервера уже применен, отметив, что они работают над внедрением дополнительных средств защиты для устранения недостатков в системе безопасности. У компании есть 90-дневное окно для решения проблем до того, как данные по ним будут обнародованы.
«9 апреля мы выпустили серверное обновление, которое защищает от атаки, продемонстрированной на Pwn2Own в Zoom Chat», - сообщил представитель компании в интервью изданию The Hacker News. «Это обновление не требует никаких действий со стороны наших пользователей. Мы продолжаем работать над безопасностью приложения, чтобы полностью решить основные проблемы».
Компания также заявила, что ей неизвестно о каких-либо доказательствах активного использования этих уязвимостей, указав при этом, что уязвимости не затрагивают сессионный чат в Zoom Meetings, а также на то, что «атака может быть осуществлена только внешним контактом, который ранее был подтвержден как аккаунт организации».
Независимый исследователь Алиса Эсаж также вошла в историю как первая женщина, которая выиграла Pwn2Own после того, как обнаружила ошибку в программе виртуализации Parallels, но получила лишь частичное признание по той причине, что о проблеме было сообщено в ZDI до начала мероприятия.
«Я могу принять как факт, что мое успешное участие в Pwn2Own привлекло внимание к некоторым спорным и потенциально устаревшим пунктам в правилах конкурса», - написала Эсадж в твиттере, добавив: «В реальном мире не существует такой вещи, как «спорный пункт». Эксплойт либо ломает целевую систему, либо нет».
Перевод сделан со статьи: https://thehackernews.com
