Bawat taon, ang Zero Day Initiative ay nagho-host ng 'Pwn2Own' na paligsahan sa pag-hack kung saan ang mga mananaliksik ng seguridad ay maaaring kumita ng pera para sa paghahanap ng mga seryosong kahinaan sa mga pangunahing platform tulad ng Windows at macOS.
Ang 2021 Pwn2Own virtual event na ito ay nagsimula nang mas maaga sa linggong ito at nagtatampok ng 23 magkahiwalay na pagtatangka sa pag-hack sa 10 iba't ibang produkto kabilang ang mga web browser, virtualization, server, at higit pa. Isang tatlong araw na pakikipag-ugnayan na tumatagal ng maraming oras sa isang araw, ang kaganapang Pwn2Own ngayong taon ay na-livestream sa YouTube.
Ang mga produkto ng Apple ay hindi masyadong na-target sa Pwn2Own 2021, ngunit sa unang araw, ang Jack Dates mula sa RET2 Systems ay nagsagawa ng Safari sa kernel zero-day exploit at nakakuha ng kanyang sarili ng $100,000. Gumamit siya ng integer overflow sa Safari at isang OOB write para makakuha ng kernel-level code execution, gaya ng na-demo sa tweet sa ibaba.
Congratulations Jack! Pag-landing ng 1-click na Apple Safari sa Kernel Zero-day sa # Pwn2Own 2021 sa ngalan ng RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) Abril 6, 2021
Ang iba pang mga pagtatangka sa pag-hack sa panahon ng kaganapang Pwn2Own ay naka-target sa Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome, at Microsoft Edge.
Isang seryosong Zoom flaw ang ipinakita ng mga Dutch researcher na sina Daan Keuper at Thijs Alkemade, halimbawa. Sinamantala ng duo ang isang trio ng mga kapintasan upang makakuha ng kabuuang kontrol sa isang target na PC gamit ang Zoom app na walang pakikipag-ugnayan ng user.
Kinukumpirma pa rin namin ang mga detalye ng #Mag-zoom pagsamantalahan kasama sina Daan at Thijs, ngunit narito ang isang mas magandang gif ng bug na kumikilos. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day Initiative (@thezdi) Abril 7, 2021
Nakatanggap ang mga kalahok ng Pwn2Own ng higit sa $1.2 milyon bilang mga reward para sa mga bug na kanilang natuklasan. Ang Pwn2Own ay nagbibigay sa mga vendor tulad ng Apple ng 90 araw upang makagawa ng isang pag-aayos para sa mga kahinaan na natuklasan, kaya maaari naming asahan ang bug na matugunan sa isang update sa hindi masyadong malayong hinaharap.
Patok Na Mga Post