Завершилось крупнейшее хакерское состязание — весенний Pwn2Own 2021. На этот раз все закончилось трехсторонней ничьей между командами Team Devcore и OV, а также дуэтом ИБ-экспертов Даана Кёпера (Daan Keuper) и Тийса Алкемаде (Thijs Alkemade) из Computest. Все три команды завершили соревнование, заработав по 20 баллов.

Суммарно за три дня участники Pwn2Own заработали 1 210 000 долларов. Подробные результаты можно найти в блоге Trend Micro Zero Day Initiative (ZDI).

В нормальных обстоятельствах мероприятие проводится в рамках конференции CanSecWest в Канаде, но из-за пандемии коронавируса в этом году Pwn2Own снова провели в онлайн-формате, как весенний и осенний Pwn2Own в прошлом году. Для этого организаторы еще в январе опубликовали список подходящих целей, и несколько команд подали заявки на участие, в общей сложности запланировав 23 взлома для десяти различных продуктов из списка. У команд было 15 минут на запуск эксплоита и удаленное выполнение кода внутри целевого приложения. За каждый сработавший эксплоит участники получали денежный приз от спонсоров конкурса и баллы для турнирной таблицы.

Весенний Pwn2Own 2021, как обычно, длился три дня, и записи стримов можно увидеть ниже. По итогам соревнования были успешно скомпрометированы Windows 10, Ubuntu, Safari, Chrome, Zoom, Microsoft Exchange, Microsoft Teams и Parallels Desktop. Интересно, что ни один из участников этого года не попытался взломать автомобиль Tesla Model 3, предоставленный на состязании. Последний раз машину взломали в 2019 году.

Наиболее впечатляющей и опасной компрометацией этого года ИБ-специалисты однозначно признали взлом Zoom, не требующий взаимодействия с пользователем, продемонстрированный Дааном Кёпером и Тийсом Алкемаде из Computest. Этот эксплоит принес экспертам 200 000 долларов.

Известно, что эксплоит объединяет в себе сразу три уязвимости и работает на новейших версиях Windows 10 и Zoom. В демонстрации исследователей жертва просто получила приглашение на встречу от злоумышленника, и ей даже не понадобилось куда-либо кликать: вредоносный код был выполнен автоматически. Так как уязвимости еще не были исправлены, технические подробности атаки пока хранятся в секрете, но ниже можно увидеть, как она выглядела.

Атака работает против версий Zoom для Windows и Mac, но еще не тестировалась на iOS или Android. Разработчики Zoom уже сообщили СМИ, что трудятся над устранением проблемы и поблагодарили экспертов за работу.

«Мы очень серьезно относимся к безопасности и высоко ценим исследование Computest. Мы работаем над устранением этой проблемы в Zoom Chat, нашего продукта для групповых сообщений. Данная проблема не влияет на внутрисессионный чат в Zoom Meetings и Zoom Video Webinars. Кроме того, атака должна исходить от принятого внешнего контакта или быть частью учетной записи той же организации. Zoom рекомендует пользователям принимать запросы на добавление в контакты только от людей, которых они знают и которым доверяют», — говорят разработчики.

1 комментарий

  1. Аватар

    MamantoElAmigo

    12.04.2021 в 04:38

    я там был винишко пил. ничего особенного. троян им в систему запустил. хохмы ради.

Оставить мнение