W telewizorach naszego kraju jesteśmy przyzwyczajeni do najdziwniejszych i najbardziej różnorodnych konkursów. Daleko od „znowu 1,2,3 odpowiedzi” i „żółtego humoru” Japończyków, obecnie bawimy się oglądając hity samotnych celebrytów na bezludnych wyspach lub tym podobne.
Odbywa się coroczny konkurs, który często pozostaje dla nas niezauważony, ale cieszy się ogromną popularnością na całym świecie. To jest o "Pwn2Własne«, Gdzie najsłynniejsi hakerzy są poddawani próbie, zmuszając ich do„ wysadzania ”różnych systemów na żywo. Jeden z nich zyskał dobrą opinię, hakując exploita Safari.
Każdego roku Zero Day Initiative organizuje konkurs hakerski o nazwie „Pwn2Own”, w którym badacze bezpieczeństwa mogą zarobić pieniądze, jeśli znajdą poważne luki w zabezpieczeniach na żywo na głównych platformach, takich jak Windows i macOS.
To wirtualne wydarzenie „Pwn2Own 2021” rozpoczęło się na początku tego tygodnia i zostało wyróżnione 23 próby włamania podzielone na 10 różnych produktów, w tym przeglądarki internetowe, wirtualizację, serwery i nie tylko. Konkurs trwający kilka godzin dziennie przez trzy kolejne dni, transmitowany na żywo w YouTube.
Systemy Apple nie zostały mocno zaatakowane w tej edycji konkursu, ale pierwszego dnia Jack Date RET2 Systems uruchomił exploita Safari „do jądra zero-day” i wygrał Dolarów 100.000. Użyto przepełnienia liczb całkowitych w Safari i skryptu OOB, aby uzyskać wykonanie kodu na poziomie jądra, zgodnie z certyfikatem ćwierkać organizacji.
Gratulacje Jack! Lądowanie Apple Safari jednym kliknięciem do jądra Zero-day o godz # Pwn2Own 2021 w imieniu RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
- Systemy RET2 (@ ret2systems) 6 kwietnia 2021 r.
Nie tylko włamali się do Safari
Inne próby włamania podczas wydarzenia „Pwn2Own” wymierzone były w Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome i Microsoft Edge, przynosząc mniej lub bardziej fortunę.
Na przykład holenderscy naukowcy Daan Keuper i Thijs Alkemade wykazali poważną lukę w zabezpieczeniach Powiększenie. Duet wykorzystał trzy błędy, aby uzyskać pełną kontrolę nad docelowym komputerem za pomocą aplikacji Zoom bez interakcji użytkownika.
Zawodnicy Pwn2Own otrzymali ponad 1,2 mln w nagrodę za błędy, które odkryli. Pwn2Own daje producentom takim jak Apple 90 dni na opracowanie poprawki dla wykrytych luk w zabezpieczeniach, więc możemy spodziewać się, że błąd zostanie rozwiązany w nadchodzącej aktualizacji.
