На телевізорах нашої країни ми звикли бачити найдивніші та найрізноманітніші змагання. Далеко від "1,2,3 відповіді ще раз" і "жовтого гумору" японців, сьогодні ми розважаємося, спостерігаючи блокбастери ізольованих знаменитостей на безлюдних островах або подібні речі.
Існує щорічний конкурс, який часто залишається непоміченим для нас, але має величезну кількість людей у всьому світі. Йдеться про "Pwn2Own«, Де найвідоміші хакери випробовуються, змушуючи їх« підірвати »різні системи в прямому ефірі. Один із них добре зірвався, зламавши експлойт Safari.
Щороку Ініціатива Zero Day організовує конкурс хакерів під назвою "Pwn2Own", де дослідники безпеки можуть заробляти гроші, якщо виявляють серйозні уразливості на основних платформах, таких Windows та macOS.
Ця віртуальна подія "Pwn2Own 2021" стартувала на початку цього тижня та про неї було повідомлено 23 спроби злому розділено на 10 різних продуктів, включаючи веб-браузери, віртуалізацію, сервери тощо. Конкурс триває кілька годин на день протягом трьох днів поспіль, пряма трансляція на YouTube.
У цьому виданні конкурсу на системи Apple не було жорстоких нападів, але в перший день, Джек Датс RET2 Systems запустив експлойт Safari "до нульового дня ядра" і переміг Долар США 100.000. Використовував ціле переповнення в Safari та сценарій OOB, щоб отримати виконання коду на рівні ядра, як сертифіковано чірікать організації.
Вітаємо Джека! Посадка Apple Safari в один клік до ядра Zero-day о # Pwn2Own 2021 від імені RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
- Системи RET2 (@ ret2systems) Квітень 6, 2021
Вони не тільки зламали Safari
Інші спроби злому під час події "Pwn2Own" були спрямовані на Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome та Microsoft Edge, отримуючи більш-менш достаток.
Наприклад, голландські дослідники Даан Кеупер і Тійс Алкемаде продемонстрували серйозний недолік безпеки Zoom. Дует використав трійку недоліків, щоб отримати повний контроль над цільовим ПК за допомогою програми Zoom без взаємодії користувача.
Конкурсанти Pwn2Own отримали більше 1,2 млн. в нагороду за виявлені ними помилки. Pwn2Own надає таким постачальникам, як Apple, 90 днів, щоб виправити виявлені уразливості, тому ми можемо очікувати, що помилка буде усунена в майбутньому оновленні.
