منبع: zerodayinitiative.com - " Pwn2Own 2020 "به پایان رسید ، و محققان بار دیگر موفقیت بزرگی را به آن دست دادند.
- نرم افزارهای بسیار پرکاربرد. ابزارها و سیستم عامل ها مورد استفاده قرار گرفته اند ، و تنها یک تلاش ناموفق انجام شده است.
- در مجموع 270،000 دلار به عنوان فضل به محققان پرداخت شد ، در حالی که برنده این تیم Team Fluoroacetate بود.
نسخه بهار "Pwn2Own" 2020 در ونکوور کانادا نتیجه گیری شد و نتایج تیم Team Fluoroacetate را در وهله اول قرار داد این چهارمین رویداد در ردیف است که توسط محققان آمات کاما و ریچارد ژو به دست می آید و پس از آن تیم آزمایشگاه امنیتی انستیتوی فناوری جورجیا برگزار می شود. این نتایج می داند که مایکروسافت ویندوز ، MacOS اپل و اوبونتو لینوکس در حال حملات حملات محققان امنیتی هستند و تأیید می کنند که هیچ چیز 100٪ امن در آنجا نیست و کشف نقص های صفر روز قابل بهره برداری فقط مسئله ای است که می توان به اندازه کافی سخت جستجو کرد.
این یک بسته بندی است! # Pwn2Own 2020 رسماً به پایان می رسد. ما خوشحالیم که به عنوان دوبله fluoroacetate عنوان استاد استاد پیون را اعطا کردیم. این یک رویداد نزدیک بود ، اما 9 امتیاز آنها (& 90K $) فقط از SSLab_Gatech از تیم برتر تیم بودند. به همه شرکت کنندگان در مسابقه تبریک می گویم. pic.twitter.com/vvmduLxwJ5
– ابتکار عمل صفر (thezdi) 20 مارس 2020
در اینجا نتایج حاصل شده است:
آزمایشگاه امنیت فناوری جورجیا – اپل با موفقیت به خطر افتد صفری با استفاده از هسته macOS از امتیازات بهره برداری. این تیم از یک زنجیره شش اشکال برای پاپ کالکشن استفاده کرده و به ریشه زایی رسیده است. پرداخت: 70،000 دلار
Fluorescence – با موفقیت با هدف قرار دادن مایکروسافت ویندوز با استفاده از یک بهره برداری "بدون استفاده" پس از آن ، منجر به افزایش امتیاز شد. پرداخت: 40،000 دلار
Manfred Paul – از یک آسیب پذیری اعتبار سنجی ورودی نامناسب برای افزایش امتیازات در دسک تاپ اوبونتو استفاده کرد. پرداخت: 30،000 دلار
Team Fluoroacetate – یک نقص "پس از استفاده رایگان" در مایکروسافت ویندوز برای افزایش در امتیاز SYSTEM ایجاد کرد. پرداخت: $ 40،000
Phi Phạm Hồng – Oracle VirtualBox را با موفقیت با استفاده از OOB بخوانید برای یک نشت اطلاعات و یک متغیر ناآگاهانه برای اجرای کد روی مشاور. پرداخت: 40،000 دلار
Team Fluoroacetate – در Adobe Acrobat Reader و هسته ویندوز از دو آسیب پذیری "پس از استفاده بدون استفاده" استفاده کرد ، و به موفقیتهای خود رسید. پرداخت: 50،000 دلار
Pwn2Own (تظاهرات لوکاس لئونگ ) – فرار مهمان به میزبان در Oracle VirtualBox
تنها تلاش سوءاستفاده ای که ناموفق بود "تیم Synacktiv" بود که تلاش کرد در کل از یک ایستگاه کاری VMWare فرار کنید ، اما نتوانستید روش خود را در مدت زمان مشخص نشان دهیم.
این رویداد ، یک موفقیت بزرگ بزرگ دیگر محسوب می شد و پرده برداری از اشکالات اساسی که غول های نرم افزاری قبل از به خطر انداختن کاربران باید از بین ببرند. به یاد داشته باشید ، این موارد اکتشافی است که مربوط به محصولات نرم افزاری مستقر و / یا با ارزش بالا است. آنها می توانند منجر به سازش کامل (سطح امتیاز بالا) شوند و بر اساس نقص های صفر روزه در تنظیمات پیش فرض قرار دارند. هیچ مهندسی اجتماعی درگیر نیست ، و هیچ تنظیمات یا نصب خاصی برای پیش نیاز کار برای بهره برداری وجود ندارد. تمام آنچه گفته شد ، ما در اینجا در مورد بالاترین سطح در مورد استثمار صحبت می کنیم و به همین دلیل است که پرداخت نیز بسیار زیاد است.