Windows, Ubuntu, macOS, VirtualBox caen en el concurso de piratería Pwn2Very own


Pwn2Own

La edición de primavera de 2020 del concurso de piratería Pwn2Personal ha llegado a su fin hoy.

El ganador de este año es Group Fluoroacetate, formado por los investigadores de seguridad Amat Cama y Richard Zhu, quienes ganaron el concurso después de acumular nueve puntos en la competencia de dos días, lo que fue suficiente para extender su dominio y ganar su cuarto torneo en un fila.

Pero la edición de este año fue un evento notable por otra razón. Si bien la edición de primavera del concurso de piratería Pwn2Personal se lleva a cabo en la conferencia de seguridad cibernética CanSecWest, celebrada cada primavera en Vancouver, Canadá, este año fue diferente.

Debido al coronavirus en curso (COVID-19) brotes y restricciones de viaje impuestas en muchos países de todo el mundo, muchos investigadores de seguridad no pudieron asistir o no estaban dispuestos a viajar a Vancouver y potencialmente poner en riesgo su salud.

En cambio, la edición Pwn2Own de este año se ha convertido en el primer concurso de piratería que se ha alojado en un entorno digital.

Los participantes enviaron exploits a los organizadores de Pwn2Have con anticipación, quienes ejecutaron el código durante una transmisión en vivo con todos los participantes presentes.

Durante el programa de dos días de la competencia, seis equipos lograron hackear aplicaciones y sistemas operativos como Windows, macOS, Ubuntu, Safari, Adobe Reader y Oracle VirtualBox. Todos los errores explotados durante el concurso fueron reportados inmediatamente a sus respectivas compañías.

Los resultados del concurso de dos días están a continuación, desglosados ​​por intento de cada equipo. La tabla al remaining del artículo es la clasificación remaining de la competencia.

Día uno

EXPLOTAR # 1: El Laboratorio de Computer software y Seguridad de Ga Tech Techniques (SSLab_Gatech) equipo de Yong Hwi Jin (@ jinmo123), Jungwon Lim (@ setuid0x0_) e Insu Yun (@insu_yun_en) apuntaron a Apple Safari con una escalada de privilegios de kernel de macOS.

La hazaña fue exitosa – El equipo de Ga Tech usó una cadena de explotación de seis errores para mostrar la aplicación de la calculadora en macOS y escalar sus derechos de acceso a la raíz. Ganan $ 70,000 USD y 7 puntos Learn of Pwn.


EXPLOTAR # 2: Fluorescencia (Richard Zhu) apuntó a Microsoft Windows con una escalada de privilegios locales.

La hazaña fue exitosa – El veterano de Pwn2Possess utilizó una vulnerabilidad de uso libre en Windows para escalar privilegios. Ganó $ 40,000 USD y 4 puntos hacia Learn of Pwn.


EXPLOTAR # 3: Manfred Paul de la RedRocket CTF El equipo apuntó a Ubuntu Desktop con una escalada de privilegios locales.

La hazaña fue exitosa – El recién llegado Pwn2Have utilizó un error de validación de entrada incorrecto para escalar privilegios. Esto le valió $ 30,000 y 3 puntos Learn of Pwn.


EXPLOTAR # 4: los Fluoroacetato El equipo de Amat Cama y Richard Zhu se dirigió a Microsoft Home windows con una escalada de privilegios locales.

La hazaña fue exitosa – Los ganadores del Learn of Pwn que se retiraron aprovecharon un error de uso libre en Home windows para escalar a Procedure. La hazaña les gana $ 40,000 y 4 puntos Grasp of Pwn.

Día dos

EXPLOTAR # 5: Phi Phạm Hồng (@ 4nhdaden) de STAR Labs (@starlabs_sg) apuntaron a Oracle VirtualBox en la categoría de virtualización.

La hazaña fue exitosa – El investigador utilizó un error de lectura fuera de los límites para una fuga de información y una variable unitaria para la ejecución de código en el hipervisor VirtualBox. Se gana $ 40,000 y 4 puntos Master of Pwn.


EXPLOTAR # 6: los Fluoroacetato El equipo de Amat Cama y Richard Zhu apuntó a Adobe Reader con una escalada de privilegios locales de Windows.

La hazaña fue exitosa – El dúo Fluoroacetate utilizó un par de errores sin uso, uno en Acrobat y otro en el kernel de Windows, para elevar los privilegios y superar el sistema. Ganan $ 50,000 y 5 puntos para Learn of Pwn.


EXPLOTAR # 7: los Synacktiv equipo de Corentin Bayet (@OnlyTheDuck) y Bruno Pujos (@BrunoPujos) apuntaron a VMware Workstation en la categoría de virtualización.

El intento de explotación fracasó – El equipo no pudo demostrar su hazaña en el tiempo asignado.

pwn2own-2020-spring-winners.jpg "src =" https://zdnet2.cbsistatic.com/hub/i/2020/03/20/ceae5074-56a5-4b40-bb39-aadf094ce168/pwn2own-2020-spring-winners .jpg

Imagen: Craze Micro





Enlace a la noticia unique