Elk jaar organiseert het Zero Day Initiative een 'Pwn2Own'-hackwedstrijd waar beveiligingsonderzoekers geld kunnen verdienen voor het vinden van ernstige kwetsbaarheden in grote platforms zoals Windows en macOS.
Dit virtuele Pwn2Own-evenement in 2021 begon eerder deze week en omvatte 23 afzonderlijke hackpogingen in 10 verschillende producten, waaronder webbrowsers, virtualisatie, servers en meer. Een driedaags evenement dat meerdere uren per dag beslaat, het Pwn2Own-evenement van dit jaar werd live gestreamd op YouTube.
Apple-producten waren niet zwaar gericht in Pwn2Own 2021, maar op de eerste dag voerde Jack Dates van RET2 Systems een Safari uit om zero-day te exploiteren en verdiende hij $ 100.000. Hij gebruikte een integer-overloop in Safari en een OOB-schrijfbewerking om code-uitvoering op kernelniveau te krijgen, zoals gedemonstreerd in de onderstaande tweet.
Gefeliciteerd Jac! Een 1-klik Apple Safari naar Kernel Zero-day op # Pwn2Own 2021 namens RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2-systemen (@ret2systems) 6 april 2021
Andere hackpogingen tijdens het Pwn2Own-evenement waren gericht op Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome en Microsoft Edge.
Een ernstige Zoom-fout werd bijvoorbeeld aangetoond door de Nederlandse onderzoekers Daan Keuper en Thijs Alkemade. Het duo maakte gebruik van een drietal tekortkomingen om volledige controle over een doel-pc te krijgen met behulp van de Zoom-app zonder gebruikersinteractie.
We bevestigen nog steeds de details van de #Zoom exploit met Daan en Thijs, maar hier is een betere gif van de bug in actie. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day-initiatief (@thezdi) 7 april 2021
Pwn2Own-deelnemers ontvingen meer dan $ 1,2 miljoen aan beloningen voor de bugs die ze ontdekten. Pwn2Own geeft leveranciers zoals Apple 90 dagen om een fix te maken voor de kwetsbaarheden die zijn ontdekt, dus we kunnen verwachten dat de bug in een niet al te verre toekomst zal worden verholpen in een update.
Populaire Berichten