Svake godine Zero Day Initiative organizira hakersko natjecanje 'Pwn2Own' na kojem istraživači sigurnosti mogu zaraditi novac za pronalaženje ozbiljnih ranjivosti na glavnim platformama kao što su Windows i macOS.
Ovaj virtualni događaj 2021. Pwn2Own započeo je ranije ovog tjedna i sadržavao je 23 zasebna pokušaja hakiranja u 10 različitih proizvoda uključujući web preglednike, virtualizaciju, poslužitelje i još mnogo toga. Trodnevna afera koja traje više sati dnevno, ovogodišnji Pwn2Own događaj prenosio se uživo na YouTubeu.
Appleovi proizvodi nisu bili jako ciljani u Pwn2Own 2021, ali prvog dana Jack Dates iz RET2 Systems je izvršio eksploataciju nultog dana Safari u kernel i zaradio si 100.000 dolara. Koristio je prekoračenje cijelog broja u Safariju i OOB pisanje kako bi dobio izvršenje koda na razini kernela, kao što je prikazano u tweetu ispod.
Čestitamo Jack! Slijetanje Apple Safarija jednim klikom na Kernel Zero-day at # Pwn2Own 2021. u ime RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 sustavi (@ret2systems) 6. travnja 2021
Ostali pokušaji hakiranja tijekom Pwn2Own događaja bili su usmjereni na Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome i Microsoft Edge.
Ozbiljnu grešku u Zoomu pokazali su, na primjer, nizozemski istraživači Daan Keuper i Thijs Alkemade. Dvojac je iskoristio tri nedostatke kako bi dobio potpunu kontrolu nad ciljnim računalom pomoću aplikacije Zoom bez interakcije korisnika.
Još uvijek potvrđujemo detalje #Zum iskorištavati s Daanom i Thijsom, ali evo boljeg gifa greške u akciji. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Inicijativa Zero Day (@thezdi) 7. travnja 2021
Sudionici Pwn2Own dobili su više od 1,2 milijuna dolara nagrade za greške koje su otkrili. Pwn2Own daje dobavljačima poput Applea 90 dana za izradu popravka za otkrivene ranjivosti, tako da možemo očekivati da će bug biti riješen u ažuriranju u ne tako dalekoj budućnosti.
Popularni Postovi