Значительные 90% попыток взлома были успешными
Финал битвы за этические взломы Pwn2Own, наконец, завершился последними событиями, проведенными 8 апреля. Результаты были разделены на 50% полного успеха, а остальные 50% были частичными победами. Мероприятие отлично началось в 9:00 утра, когда Бенджамин МакБрайд выиграл 40000 долларов за выполнение кода в ОС хоста из рабочего стола Parallels.
Изображение: Zeroday Initiative
Следующий набор из четырех событий в отношении Microsoft Exchange, рабочего стола Ubuntu, Windows 10 и Parallels Desktop был назван частичным успехом из-за всех методов, использованных в этих четырех событиях, а сообщенная ошибка уже была известна соответствующим организациям. Денежных призов здесь не присуждалось, но победители получали баллы в пользу Master of PWN. Главным событием этих мероприятий стала Алиса Эсейдж, первая женщина, принявшая участие в качестве независимого исследователя и нацеленная на Parallels Desktop в категории виртуализации.
Изображение предоставлено Twitter
Последние три мероприятия, посвященные Ubuntu Desktop, Parallels Desktop и Windows 10, увенчались успехом и были награждены денежными призами. Винсент Деорс потребовал 30 000 долларов на эскалацию до корневого каталога рабочего стола Ubuntu через двойное освобождение от ошибки. Следующий приз в размере 40 000 долларов был выигран Да Лао, который завершил работу с гостем в качестве хоста с помощью OOB Write в Parallels Desktop. Финальная победа дня и турнира была одержана Марцином Вязовски, который выиграл колоссальную сумму в 40 000 долларов после использования ошибки UAF для получения доступа к системе на ПК с Windows 10.
Все мероприятие спонсировалось VMware и другими партнерами, включая Adobe, Zoom и Tesla. У поставщиков мероприятия есть 90 дней на то, чтобы исправить обнаруженные уязвимости. Вот сводный отчет за все три дня на случай, если вы его пропустили.
Sn Нет
Дата Время Событие Человек / Команда
Положение дел
1
6 апреля 2021 г. 1000 дат успеха Apple Safari Jack 2 6 апреля 2021 г. 11:30 Microsoft Exchange DEVCORE
Успех
3
6 апреля 2021 г. 1300 Успехов Microsoft Teams OV
4
6 апреля 2021 г. 1430 Windows 10 Viettel Success 5 6 апреля 2021 г. 1530 Parallels Desktop Star Labs
Отказ
6 апреля 2021 г. 1630 Рабочий стол Ubuntu Ryota Shiga
Успех
7
6 апреля 2021 г. 17:30 Сбой Oracle Virtualbox Star Labs 8 7 апреля 2021 г. 09:00 Даты Parallels Desktop Jack
Успех
9
7 апреля 2021 г. 1000 Google Chrome и Microsoft Edge Бруно Кейт и Никлас Баум Старк Успех
10
7 апреля 2021 г. 11:30 Microsoft Exchange Viettel Partial 11 7 апреля 2021 г. 13:00 Zoom Messenger Даан Купер и Тийс Алкемаде
Успех
12 апреля 7, 2021 1430 Windows 10 Тао Янь
Успех
13
7 апреля 2021 г. 1530 Parallels Desktop Sunjoo Park Success 14 7 апреля 2021 г. 1630 Ubuntu Desktop Манфред Пол
Успех
15
7 апреля 2021 г. 1730 Windows 10 z3r09 Успех 16 8 апреля 2021 г. 0900 Parallels Desktop Benjamin McBride
Успех
17
8 апреля 2021 г. 1000 Microsoft Exchange, Стивен Сили, частичная
18
8 апреля 2021 г. 1130 Ubuntu Desktop Star Labs
Частичное
19 апр 8, 2021 1230 Windows 10 Фабьен Периго
Частичное
20
8 апреля 2021 г. 1330 Parallels Desktop Alisa Esage Partial 21 8 апреля 2021 г. 1430 Ubuntu Desktop Винсент Дехорс
Успех
22
8 апреля 2021 г. 1530 Parallels Desktop Da Lao Success 23 8 апреля 2021 г. 1630 Windows 10 Marcin Wiazowski
Успех
Один взгляд на таблицу выше скажет вам, что из 23 запланированных событий только 2 не удалось выполнить, поскольку команда не смогла выполнить задачу в отведенное время, а с 5 частичными мероприятиями 16 событий были полностью успешными. 5 частичных успехов были названы так потому, что использованный метод или ошибка были известны еще до конкурса.
Для полных результатов и более подробной информации щелкните здесь
Причина для беспокойства здесь в том, что если вы посчитаете фактическое общее количество успехов, то оно составит 21 из 23, что составляет 91% успеха (включая частичные победы). Это заставляет нас серьезно задуматься: «Неужели операционные системы и программное обеспечение, которые мы используем, настолько уязвимы для хакеров?» Я оставляю вас думать и размышлять над этим, и, пожалуйста, поделитесь своими комментариями в разделе ниже.