Bezpieczeństwo  /  News

Nie ma bezpiecznego oprogramowania. Hakerzy na Pwn2Own 2021 złamali niemal wszystko

Picture of the author
107 interakcji
dołącz do dyskusji

Nieważne, czy ktoś polega na oprogramowaniu Microsoftu, Apple’a czy na tym linuxowym. Poziom złożoności systemów i aplikacji jest już na tyle duży, że hakerzy bez trudu znajdują nowe luki bezpieczeństwa – nawet w bardzo dojrzałym software.

Pwn2Own to coroczna impreza, podczas której hakerzy – w zamian za nagrody i ewentualny rozgłos – próbują złamać zabezpieczenia popularnych aplikacji wykorzystywanych przez firmy i użytkowników indywidualnych. Niemal zawsze celem są te najpopularniejsze platformy. I po raz kolejny się okazuje, że wykorzystywany przez nas software jest mocno dziurawy.

Podczas Pwn2Own 2021 specjaliści ds. bezpieczeństwa pokonali zabezpieczenia Exchange’a, Teamsów, Zooma, Safari, Chrome’a, Edge’a, Parallels, Windowsa, Ubuntu i wiele więcej. Tłamsząc jakiekolwiek złudzenia, że istnieje coś takiego jak bezpieczne oprogramowanie. To dobra okazja, by przypomnieć, że te najbardziej wrażliwe dane – które nie mogą wpaść w niepowołane ręce – powinny być zawsze dodatkowo zabezpieczane przez użytkownika, najlepiej szyfrowaniem.

Niezałatane luki bezpieczeństwa –lista programów, których zabezpieczenia pokonano na imprezie Pwn2Own 2021.

  • Apple Safari. Jack Dates z Ret2 Systems zarobił 100 tys. dol. Za pośrednictwem Safari uzyskał dostęp do wykonywania kodu programistycznego na atakowanym komputerze na poziomie kernela.
  • Microsoft Exchange. Zespół Devcore zarobił 200 tys. dol. za pokonanie systemu uwierzytelniania Exchange’a i przejęcie za jego pośrednictwem całkowitej kontroli nad serwerem, na którym był zainstalowany.
  • Microsoft Teams. Specjalista o pseudonimie Ov zdołał wykonać nieautoryzowany kod na platformie Teams, zarabiając tym samym 200 tys. dol.
  • Windows. Zespół Viettel zarobił 40 tys. za nieautoryzowaną i zakończoną powodzeniem próbę zwiększenia uprawnień zwykłego użytkownika systemu do poziomu uprawnień systemowych. Za inną metodę i ten sam efekt nagrodę zdobyli również Tao Yan z Palo Alto Networks, za jeszcze inną haker o pseudonimie z3r09, jeszcze inną Marcin Wiązowski.
  • Ubuntu. Ryota Shiga zarobił 30 tys. dol. za nieautoryzowaną i zakończoną powodzeniem próbę zwiększenia uprawnień zwykłego użytkownika systemu do poziomu uprawnień roota. Podobny rezultat i nagrodę osiągnął Mandred Paul. Inny atak z powodzeniem udało się przeprowadzić Vincentowi Dehorsowi z Synacktiv.
  • Parallels Desktop. Jack Dates z Ret2 Systems wykorzystał trzyetapowy atak by pokonać piaskownicę Parallels i wykonać kod na komputerze-gospodarzu, co zapewniło mu 40 tys. dol. wygranej. Inny atak z podobnym skutkiem i nagrodą przeprowadził Sunjoo Park, jeszcze inny Benjamin McBride z L3Harris Trenchant, jeszcze inny haker o pseudonimie Da Lao.
  • Google Chrome i Microsoft Edge. Dwóch pracowników Dataflow Security przejęli kontrolę nad rendererem Chrome’a i wykazali, że Edge ma identyczną podatność, co zapewniło im 100 tys. dol. wygranej.
  • Zoom Messenger. Daan Keuper i Thijs Alkemade zarobili 200 tys. dol. za zdołanie wykonania kodu na komputerze z zainstalowanym Zoomem, bez jakiejkolwiek interakcji ze strony użytkownika.

Szczegóły na temat wykorzystanych usterek nie są jawne – twórcy złamanych programów mają 90 dni na ich załatanie. Po tym czasie organizatorzy konkursu i hakerzy będą mogli informować jakie metody konkretnie zostały wykorzystane. Zapis całego wydarzenia dostępny jest pod tym adresem.

Polub i udostępnij ten tekst na Facebooku.

przeczytaj następny tekst