Beveiligingsonderzoeker verdient $100.000 voor Safari-exploit in Pwn2Own Hacking Contest

Elk jaar organiseert het Zero Day Initiative een 'Pwn2Own'-hackwedstrijd waar beveiligingsonderzoekers geld kunnen verdienen voor het vinden van ernstige kwetsbaarheden in grote platforms zoals Windows en macOS.

Dit virtuele Pwn2Own-evenement in 2021 begon eerder deze week en omvatte 23 afzonderlijke hackpogingen in 10 verschillende producten, waaronder webbrowsers, virtualisatie, servers en meer. Een driedaags evenement dat meerdere uren per dag beslaat, het Pwn2Own-evenement van dit jaar werd live gestreamd op YouTube.

Apple-producten waren niet zwaar gericht in Pwn2Own 2021, maar op de eerste dag voerde Jack Dates van RET2 Systems een Safari uit om zero-day te exploiteren en verdiende hij $ 100.000. Hij gebruikte een integer-overloop in Safari en een OOB-schrijfbewerking om code-uitvoering op kernelniveau te krijgen, zoals gedemonstreerd in de onderstaande tweet.

Gefeliciteerd Jac! Een 1-klik Apple Safari naar Kernel Zero-day op # Pwn2Own 2021 namens RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2-systemen (@ret2systems) 6 april 2021

Een ernstige Zoom-fout werd bijvoorbeeld aangetoond door de Nederlandse onderzoekers Daan Keuper en Thijs Alkemade. Het duo maakte gebruik van een drietal tekortkomingen om volledige controle over een doel-pc te krijgen met behulp van de Zoom-app zonder gebruikersinteractie.

We bevestigen nog steeds de details van de #Zoom exploit met Daan en Thijs, maar hier is een betere gif van de bug in actie. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day-initiatief (@thezdi) 7 april 2021