Nie ma bezpiecznego oprogramowania. Hakerzy na Pwn2Own 2021 złamali niemal wszystko
Nieważne, czy ktoś polega na oprogramowaniu Microsoftu, Apple’a czy na tym linuxowym. Poziom złożoności systemów i aplikacji jest już na tyle duży, że hakerzy bez trudu znajdują nowe luki bezpieczeństwa – nawet w bardzo dojrzałym software.
Pwn2Own to coroczna impreza, podczas której hakerzy – w zamian za nagrody i ewentualny rozgłos – próbują złamać zabezpieczenia popularnych aplikacji wykorzystywanych przez firmy i użytkowników indywidualnych. Niemal zawsze celem są te najpopularniejsze platformy. I po raz kolejny się okazuje, że wykorzystywany przez nas software jest mocno dziurawy.
Podczas Pwn2Own 2021 specjaliści ds. bezpieczeństwa pokonali zabezpieczenia Exchange’a, Teamsów, Zooma, Safari, Chrome’a, Edge’a, Parallels, Windowsa, Ubuntu i wiele więcej. Tłamsząc jakiekolwiek złudzenia, że istnieje coś takiego jak bezpieczne oprogramowanie. To dobra okazja, by przypomnieć, że te najbardziej wrażliwe dane – które nie mogą wpaść w niepowołane ręce – powinny być zawsze dodatkowo zabezpieczane przez użytkownika, najlepiej szyfrowaniem.
Niezałatane luki bezpieczeństwa –lista programów, których zabezpieczenia pokonano na imprezie Pwn2Own 2021.
- Apple Safari. Jack Dates z Ret2 Systems zarobił 100 tys. dol. Za pośrednictwem Safari uzyskał dostęp do wykonywania kodu programistycznego na atakowanym komputerze na poziomie kernela.
- Microsoft Exchange. Zespół Devcore zarobił 200 tys. dol. za pokonanie systemu uwierzytelniania Exchange’a i przejęcie za jego pośrednictwem całkowitej kontroli nad serwerem, na którym był zainstalowany.
- Microsoft Teams. Specjalista o pseudonimie Ov zdołał wykonać nieautoryzowany kod na platformie Teams, zarabiając tym samym 200 tys. dol.
- Windows. Zespół Viettel zarobił 40 tys. za nieautoryzowaną i zakończoną powodzeniem próbę zwiększenia uprawnień zwykłego użytkownika systemu do poziomu uprawnień systemowych. Za inną metodę i ten sam efekt nagrodę zdobyli również Tao Yan z Palo Alto Networks, za jeszcze inną haker o pseudonimie z3r09, jeszcze inną Marcin Wiązowski.
- Ubuntu. Ryota Shiga zarobił 30 tys. dol. za nieautoryzowaną i zakończoną powodzeniem próbę zwiększenia uprawnień zwykłego użytkownika systemu do poziomu uprawnień roota. Podobny rezultat i nagrodę osiągnął Mandred Paul. Inny atak z powodzeniem udało się przeprowadzić Vincentowi Dehorsowi z Synacktiv.
- Parallels Desktop. Jack Dates z Ret2 Systems wykorzystał trzyetapowy atak by pokonać piaskownicę Parallels i wykonać kod na komputerze-gospodarzu, co zapewniło mu 40 tys. dol. wygranej. Inny atak z podobnym skutkiem i nagrodą przeprowadził Sunjoo Park, jeszcze inny Benjamin McBride z L3Harris Trenchant, jeszcze inny haker o pseudonimie Da Lao.
- Google Chrome i Microsoft Edge. Dwóch pracowników Dataflow Security przejęli kontrolę nad rendererem Chrome’a i wykazali, że Edge ma identyczną podatność, co zapewniło im 100 tys. dol. wygranej.
- Zoom Messenger. Daan Keuper i Thijs Alkemade zarobili 200 tys. dol. za zdołanie wykonania kodu na komputerze z zainstalowanym Zoomem, bez jakiejkolwiek interakcji ze strony użytkownika.
Szczegóły na temat wykorzystanych usterek nie są jawne – twórcy złamanych programów mają 90 dni na ich załatanie. Po tym czasie organizatorzy konkursu i hakerzy będą mogli informować jakie metody konkretnie zostały wykorzystane. Zapis całego wydarzenia dostępny jest pod tym adresem.
