Mỗi năm, Zero Day Initiative tổ chức cuộc thi hack 'Pwn2Own', nơi các nhà nghiên cứu bảo mật có thể kiếm tiền nhờ tìm ra các lỗ hổng nghiêm trọng trong các nền tảng chính như Windows và macOS.
Sự kiện ảo Pwn2Own năm 2021 này đã bắt đầu vào đầu tuần này và có 23 nỗ lực tấn công riêng biệt trên 10 sản phẩm khác nhau bao gồm trình duyệt web, ảo hóa, máy chủ, v.v. Sự kiện kéo dài ba ngày kéo dài nhiều giờ một ngày, sự kiện Pwn2Own năm nay đã được phát trực tiếp trên YouTube.
Các sản phẩm của Apple không được nhắm mục tiêu nhiều trong Pwn2Own 2021, nhưng vào ngày đầu tiên, Jack Dates từ Hệ thống RET2 đã thực hiện khai thác Safari sang hạt nhân zero-day và kiếm được cho mình 100.000 đô la. Anh ấy đã sử dụng tràn số nguyên trong Safari và ghi OOB để thực thi mã cấp hạt nhân, như được minh họa trong tweet bên dưới.
Xin chúc mừng Jack! Hạ cánh Apple Safari bằng 1 cú nhấp chuột tới Kernel Zero-day tại # Pwn2Own 2021 thay mặt cho RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs - Hệ thống RET2 (@ ret2systems) Ngày 6 tháng 4 năm 2021
Các nỗ lực tấn công khác trong sự kiện Pwn2Own nhắm vào Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome và Microsoft Edge.
Ví dụ, một lỗ hổng Zoom nghiêm trọng đã được các nhà nghiên cứu Hà Lan Daan Keuper và Thijs Alkemade chứng minh. Bộ đôi này đã khai thác một bộ ba lỗ hổng để có được toàn quyền kiểm soát PC mục tiêu bằng ứng dụng Zoom mà không có sự tương tác của người dùng.
Chúng tôi vẫn đang xác nhận các chi tiết của #Phóng khai thác với Daan và Thijs, nhưng đây là một gif tốt hơn về lỗi đang hoạt động. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW - Sáng kiến Ngày Không (@thezdi) Ngày 7 tháng 4 năm 2021
Những người tham gia Pwn2Own đã nhận được hơn 1,2 triệu đô la tiền thưởng cho những lỗi mà họ phát hiện ra. Pwn2Own cho các nhà cung cấp như Apple 90 ngày để đưa ra bản sửa lỗi cho các lỗ hổng được phát hiện, vì vậy chúng ta có thể hy vọng lỗi sẽ được giải quyết trong một bản cập nhật trong tương lai không xa.
Bài ViếT Phổ BiếN