Μεγαλύτεροι στόχοι στο Pwn2Own 2022: Windows, Teams και Ubuntu Desktop της Microsoft

Την περασμένη εβδομάδα, στο Βανκούβερ έλαβε χώρα ο διαγωνισμός Pwn2Own 2022, ενός χρονομετρημένου τεστ δεξιοτήτων για χάκερ και ειδικούς στον κυβερνοχώρο. Φέτος εορτάστηκε η 15η επέτειο του διαγωνισμού και οι επιδόσεις των φετινών διαγωνιζομένων δεν απογοήτευσαν. 17 διαγωνιζόμενοι επιτέθηκαν σε 21 στόχους, συμπεριλαμβανομένου του προγράμματος περιήγησης Safari της Apple, των Windows 11, ακόμη και των ηλεκτρονικών ειδών του Tesla Model 3.

Ο διαγωνισμός μοίρασε συνολικά 1.155.000 $ φέτος και οι μεγαλύτερες πληρωμές ήταν για σοβαρά exploits έναντι του βοηθητικού προγράμματος Teams της Microsoft. Αν και το Teams δεν αποτελεί τεχνικά μέρος των Windows, συνοδεύεται από όλες τις νέες εγκαταστάσεις των Windows 11, πράγμα που σημαίνει ότι αυτά τα exploit είναι πρακτικά εκμεταλλεύσεις των Windows. Ο Hector "p3rr0" Peralta, ο Masato Kinugawa και τα STAR Labs κέρδισαν 150.000 $ ο καθένας για ευρεση και εκμετάλλευση exploits του βοηθητικού  αυτού προγράμματος.

Ωστόσο, τα ίδια τα Windows 11 δεν γλίτωσαν. Ο Marcin Wiązowski και το STAR Labs κέρδισαν ο καθένας 40.000 $ για εκμεταλλεύσεις κλιμάκωσης προνομίων (privilege escalation exploits) στο λειτουργικό σύστημα της Microsoft την πρώτη ημέρα και τη δεύτερη ημέρα, ο TO βρήκε ένα παρόμοιο σφάλμα για μια δική του πληρωμή 40.000 $. Η τρίτη ημέρα ευρέθηκαν τουλάχιστον τρία ακόμη φρέσκα exploit έναντι των Windows 11, όλα στην κατηγορία κλιμάκωσης προνομίων. Και οι τρεις νικητές κέρδισαν άλλα 40.000 $.

Όσον αφορά το Tesla Model 3, το Synacktiv μπόρεσε να επιδείξει ένα exploit "διαφυγής sandbox" στο σύστημα ενημέρωσης και ψυχαγωγίας του αυτοκινήτου. Αυτό θα μπορούσε να επιτρέψει σε έναν εισβολέα να πάρει τον έλεγχο του ενσωματωμένου υπολογιστή του αυτοκινήτου και, λαμβάνοντας υπόψη άλλα δύο έξυπνα κατορθώματα, θα μπορούσε να είναι το πρώτο βήμα για έναν απομακρυσμένο εισβολέα να αναλάβει τον έλεγχο του συστήματος αυτόματου πιλότου του αυτοκινήτου. Η ομάδα κέρδισε 75.000 $ για το σφάλμα.

Άλλοι στόχοι που δέχθηκαν επίθεση στο Pwn2Own 2022 ήταν ο Mozilla Firefox (παραβιάστηκε), το Apple Safari (παραβιάστηκε) και το Ubuntu Desktop (παραβιάστηκε). Υπήρξαν μερικές αποτυχίες, αν και η Πρωτοβουλία Zero-Day - η οποία χορηγεί τον διαγωνισμό - σημείωσε ότι τα περισσότερα από τα αποτυχημένα hacks ήταν έγκυρα και ότι οι ειδικοί ασφαλείας απλά δεν κατάφεραν να τους κάνουν να δουλέψουν εντός του περιορισμένου χρόνου που είχε δοθεί για να το κάνουν .

Φυσικά, οι λεπτομέρειες των hacks δεν δημοσιοποιούνται, γιατί στην ουσιά πρόκειται για zero-day ευπάθειες. Αυτό σημαίνει ότι δεν έχουν επιδιορθωθεί ακόμα, επομένως η αποδέσμευση λεπτομερειών των εκμεταλλεύσεων θα μπορούσε να επιτρέψει σε κακόβουλους χρήστες να χρησιμοποιήσουν τα σφάλματα. Λεπτομέρειες θα αποκαλυφθούν σε 3 μήνες από τώρα, κατά τη διάρκεια του οποίου η Microsoft, η Tesla, η Apple και άλλοι θα πρέπει να τα διορθώσει όλα .