מדי שנה, יוזמת Zero Day מארחת תחרות פריצה 'Pwn2Own' שבה חוקרי אבטחה יכולים להרוויח כסף על מציאת נקודות תורפה רציניות בפלטפורמות מרכזיות כמו Windows ו-macOS.
האירוע הווירטואלי הזה של Pwn2Own משנת 2021 יצא לדרך מוקדם יותר השבוע והציג 23 ניסיונות פריצה נפרדים ב-10 מוצרים שונים כולל דפדפני אינטרנט, וירטואליזציה, שרתים ועוד. רומן בן שלושה ימים שמתפרש על פני מספר שעות ביום, אירוע Pwn2Own השנה הועבר בשידור חי ביוטיוב.
מוצרי אפל לא היו ממוקדים במיוחד ב-Pwn2Own 2021, אבל ביום הראשון, ג'ק דייטס מ-RT2 Systems ביצע ספארי לניצול אפס-יום ליבה והרוויח לעצמו 100,000 דולר. הוא השתמש בגלישה של מספרים שלמים בספארי ובכתב OOB כדי לקבל ביצוע קוד ברמת ליבה, כפי שהודגם בציוץ למטה.
מזל טוב ג'ק! נחיתה ב-Apple Safari בקליק אחד ל-Kernel Zero-day בשעה # Pwn2Own 2021 מטעם RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) 6 באפריל, 2021
ניסיונות פריצה אחרים במהלך אירוע Pwn2Own כוונו ל- Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome ו- Microsoft Edge.
פגם חמור בזום הודגם על ידי החוקרים ההולנדים דאן קופר ות'יס אלקמייד, למשל. הצמד ניצל שלישיית פגמים כדי לקבל שליטה מוחלטת במחשב היעד באמצעות אפליקציית זום ללא אינטראקציה של המשתמש.
אנחנו עדיין מאשרים את הפרטים של #תקריב לנצל עם דיין ות'יס, אבל הנה גיף טוב יותר של הבאג בפעולה. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — יוזמת יום אפס (@thezdi) 7 באפריל, 2021
משתתפי Pwn2Own קיבלו יותר מ-1.2 מיליון דולר בתגמולים עבור הבאגים שגילו. Pwn2Own נותנת לספקים כמו אפל 90 יום לייצר תיקון לפגיעויות שנחשפו, כך שנוכל לצפות שהבאג יטופל בעדכון בעתיד הלא רחוק.
רשום פופולרי