Pull to refresh

На Pwn2Own-2020 взломали Windows, Ubuntu и macOS и VirtualBox; конкурс впервые прошёл по сети

Reading time 2 min
Views 7K

Источник: Zero Day Initiative

Организаторы конкурса Pwn2Own подвели итоги мероприятия. В этом году состязание, которое обычно проходит в Канаде в рамках конференции по информационной безопасности CanSecWest, впервые состоялось в онлайн-режиме из-за вспышки COVID-19. Участники заранее отправили эксплойты организаторам Pwn2Own, которые запускали код во время прямой трансляции.

За два дня соревнований шести командам удалось скомпрометировать такие приложения и операционные системы, как Windows, macOS, Ubuntu, Safari, Adobe Reader и Oracle VirtualBox. Все баги, обнаруженные в ходе конкурса, были немедленно доведены до сведения соответствующих компаний.

В первый день участники попытались осуществить четыре эксплойта, и все попытки оказались успешными. Команда SSlab (Systems Software & Security Lab) Технологического института Джорджии использовала цепочку эксплойтов, нацеленных на macOS, которые позволили им расширить привилегии в Safari до root. Эта победа принесла им $70 тыс. и 7 очков Master of Pwn. В этот же день Манфред Пол из команды RedRocket CTF, новичок конкурса, осуществил эксплойт Ubuntu Desktop с повышением привилегий, что принесло ему $30 тыс. и 3 очка Master of Pwn.

Во второй день соревнований команда STAR Labs получила $40 тысяч и 4 очка Master of Pwn за демонстрацию эксплойта для VirtualBox.

Победителем конкурса стала команда Fluoroacetate, в составе которой — Амат Кама и Ричард Чжу. В первый же день Pwn2Own команда заработала 4 очка Master of Pwn и $40 тысяч за эксплойт локального повышения привилегий на Windows 10. Другой эксплойт повышения привилегий, также направленный на Windows 10, выполнил один Чжу, также заработав $40 тысяч. На второй день соревнований команда заработала ещё $50 тысяч за эксплойт с использованием уязвимостей Adobe Reader и ядра Windows. Fluoroacetate не первый раз участвует в Pwn2Own и победила в трёх последних конкурсах, которые состоялись в ноябре 2018 года, в марте и ноябре 2019 года. Победа на ноябрьском конкурсе принесла им почти $200 тысяч и автомобиль Tesla.

Единственной неудачной попыткой эксплойта стала попытка команды Synacktiv взломать VMware Workstation — команда не смогла продемонстрировать свой эксплойт за отведенное время. Всего в ходе соревнований участники заработали $270 тысяч.
Tags:
Hubs:
+11
Comments 8
Comments Comments 8

Other news