Завершилось крупнейшее хакерское состязание — весенний Pwn2Own 2021. На этот раз все закончилось трехсторонней ничьей между командами Team Devcore и OV, а также дуэтом ИБ-экспертов Даана Кёпера (Daan Keuper) и Тийса Алкемаде (Thijs Alkemade) из Computest. Все три команды завершили соревнование, заработав по 20 баллов.
Суммарно за три дня участники Pwn2Own заработали 1 210 000 долларов. Подробные результаты можно найти в блоге Trend Micro Zero Day Initiative (ZDI).
And the Master of Pwn is.....
— Zero Day Initiative (@thezdi) April 8, 2021
A tie!
Congrats to Team DEVCORE, OV, and Daan Keuper and Thijs Alkemade. All are considered Master of Pwn and receive Platinum status next year. Thanks again to all who participated. It was an amazing contest, & we couldn't have don it without you. pic.twitter.com/IuCbdMCU17
В нормальных обстоятельствах мероприятие проводится в рамках конференции CanSecWest в Канаде, но из-за пандемии коронавируса в этом году Pwn2Own снова провели в онлайн-формате, как весенний и осенний Pwn2Own в прошлом году. Для этого организаторы еще в январе опубликовали список подходящих целей, и несколько команд подали заявки на участие, в общей сложности запланировав 23 взлома для десяти различных продуктов из списка. У команд было 15 минут на запуск эксплоита и удаленное выполнение кода внутри целевого приложения. За каждый сработавший эксплоит участники получали денежный приз от спонсоров конкурса и баллы для турнирной таблицы.
Весенний Pwn2Own 2021, как обычно, длился три дня, и записи стримов можно увидеть ниже. По итогам соревнования были успешно скомпрометированы Windows 10, Ubuntu, Safari, Chrome, Zoom, Microsoft Exchange, Microsoft Teams и Parallels Desktop. Интересно, что ни один из участников этого года не попытался взломать автомобиль Tesla Model 3, предоставленный на состязании. Последний раз машину взломали в 2019 году.
Наиболее впечатляющей и опасной компрометацией этого года ИБ-специалисты однозначно признали взлом Zoom, не требующий взаимодействия с пользователем, продемонстрированный Дааном Кёпером и Тийсом Алкемаде из Computest. Этот эксплоит принес экспертам 200 000 долларов.
Известно, что эксплоит объединяет в себе сразу три уязвимости и работает на новейших версиях Windows 10 и Zoom. В демонстрации исследователей жертва просто получила приглашение на встречу от злоумышленника, и ей даже не понадобилось куда-либо кликать: вредоносный код был выполнен автоматически. Так как уязвимости еще не были исправлены, технические подробности атаки пока хранятся в секрете, но ниже можно увидеть, как она выглядела.
We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
— Zero Day Initiative (@thezdi) April 7, 2021
Атака работает против версий Zoom для Windows и Mac, но еще не тестировалась на iOS или Android. Разработчики Zoom уже сообщили СМИ, что трудятся над устранением проблемы и поблагодарили экспертов за работу.
«Мы очень серьезно относимся к безопасности и высоко ценим исследование Computest. Мы работаем над устранением этой проблемы в Zoom Chat, нашего продукта для групповых сообщений. Данная проблема не влияет на внутрисессионный чат в Zoom Meetings и Zoom Video Webinars. Кроме того, атака должна исходить от принятого внешнего контакта или быть частью учетной записи той же организации. Zoom рекомендует пользователям принимать запросы на добавление в контакты только от людей, которых они знают и которым доверяют», — говорят разработчики.
