Každý rok organizuje Zero Day Initiative hackerskú súťaž „Pwn2Own“, v ktorej môžu bezpečnostní výskumníci zarábať peniaze za nájdenie vážnych zraniteľností na veľkých platformách, ako sú Windows a macOS.
Táto virtuálna udalosť 2021 Pwn2Own sa začala začiatkom tohto týždňa a obsahovala 23 samostatných pokusov o hackovanie v 10 rôznych produktoch vrátane webových prehliadačov, virtualizácie, serverov a ďalších. Trojdňová záležitosť, ktorá trvá niekoľko hodín denne. Tohtoročné podujatie Pwn2Own sa vysielalo naživo na YouTube.
Produkty Apple neboli v Pwn2Own 2021 výrazne zamerané, ale v prvý deň Jack Dates z RET2 Systems spustil využitie Safari na jadro zero-day a zarobil si 100 000 dolárov. Použil pretečenie celého čísla v Safari a zápis OOB na spustenie kódu na úrovni jadra, ako je demonštrované v tweete nižšie.
Gratulujem Jack! Pristátie nultého dňa od Apple Safari do jadra jedným kliknutím # Pwn2Own 2021 v mene RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Systémy RET2 (@ret2systems) 6. apríla 2021
Ďalšie pokusy o hackovanie počas udalosti Pwn2Own boli zamerané na Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome a Microsoft Edge.
Vážnu chybu zoomu predviedli napríklad holandskí výskumníci Daan Keuper a Thijs Alkemade. Dvojica využila trio nedostatkov, aby získala úplnú kontrolu nad cieľovým počítačom pomocou aplikácie Zoom bez interakcie používateľa.
Podrobnosti ešte potvrdzujeme #Zoom exploit s Daanom a Thijsom, ale tu je lepší gif chyby v akcii. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Iniciatíva Zero Day (@thezdi) 7. apríla 2021
Účastníci Pwn2Own dostali odmeny vo výške viac ako 1,2 milióna dolárov za chyby, ktoré objavili. Pwn2Own dáva predajcom ako Apple 90 dní na opravu odhalených zraniteľností, takže môžeme očakávať, že chyba bude vyriešená v aktualizácii v nie príliš vzdialenej budúcnosti.
Populárne Príspevky