19 zero-day sårbarheder i bl.a. Windows 11, Tesla, Ubuntu Linux
Under Pwn2Own Vancouver 2024, demonstrerede sikkerhedsforskere 19 zero-day sårbarheder i Windows 11, Tesla, Ubuntu Linux og andre enheder, hvilket resulterede i præmier på $732,500 samt en Tesla Model 3 bil. Konkurrencen omfattede bemærkelsesværdige exploits, herunder et Adobe Reader exploit, hacking af Tesla’s ECU, og udnyttelse af sårbarheder i VMware Workstation og Oracle VirtualBox.
Efter konkurrencen har leverandørerne 90 dage til at udsende sikkerhedsrettelser for de rapporterede fejl, inden de offentliggøres af Trend Micro’s Zero Day Initiative. Det lokker mange hackere til da der er store penge og hente og det er WIN/WIN for sikkerheden.
Både Google Chrome og Microsoft Edge var sårbare og det er de fordi de deler samme kode fra Chromium Open Source sættet.
Konkurrencen begyndte med Haboob SA’s Abdul Aziz Hariri, som anvendte et Adobe Reader-eksploit, der kombinerede en omgåelse af API-begrænsninger og en kommandoinjektionsfejl for at opnå kodeeksekvering på macOS og tjente $50,000.
Synacktiv vandt en Tesla Model 3 og $200,000 efter at have hacket Teslas ECU med Vehicle (VEH) CAN BUS Control. Det skete på under 30 sekunder ved hjælp af en heltals-overløbsfejl.
Theori’s sikkerhedsforskere, Gwangun Jung og Junoh Lee, tjente $130,000 efter at være undsluppet en VMware Workstation VM for at opnå kodeeksekvering som SYSTEM på værts-Windows OS ved hjælp af en kæde, der sigtede mod en uinitialiseret variabel fejl, en UAF-svaghed og en hukommelsesbaseret bufferoverløbsfejl. Så VMWARE bliver ved med flere fejl.
Reverse Tactics’ Bruno PUJOS og Corentin BAYET krævede så $90,000 ved at udnytte to Oracle VirtualBox-fejl og en Windows UAF for at flygte fra VM’en og forhøje privilegier til SYSTEM.
Den første dag af konkurrencen sluttede med Manfred Paul, der hackede webbrowserne Apple Safari, Google Chrome og Microsoft Edge ved at udnytte tre zero-day-sårbarheder og vinde $102,500.
Andre forsøg fra den første dag af Pwn2Own omfatter:
- DEVCORE Research Team tjente en $30,000 belønning efter at have eskaleret privilegier til SYSTEM på et fuldt opdateret Windows 11-system ved hjælp af et eksploit, der sigtede mod to fejl. Det ene fejl er en sjælden anvendt TOCTAU race condition. Derefter modtog de også $10,000 for at demo en allerede kendt Ubuntu Linux lokal privilegieskalering (LPE) eksploit.
- KAIST Hacking Lab’s Seunghyun Lee hackede Google Chrome-webbrowseren ved hjælp af en Use-After-Free (UAF) sårbarhed for at opsamle en præmie på $60,000.
- Kyle Zeng fra ASU SEFCOM demoede et andet LPE-eksploit rettet mod Ubuntu Linux via en race condition for at tjene $20,000.
- Cody Gallagher vandt også $20,000 for en Oracle VirtualBox out-of-bounds (OOB) write zero-day sårbarhed.
- Viettel Cyber Security’s Dungdm hackede også Oracles VirtualBox ved hjælp af en to-fejls eksploitkæde for $20,000.
- Efter zero-days er demoed ved Pwn2Own, har leverandører 90 dage til at oprette og frigive sikkerhedsrettelser for alle rapporterede fejl, før Trend Micro’s Zero Day Initiative offentliggør dem.
Gennem Pwn2Own Vancouver 2024 vil sikkerhedsforskere målrette fuldt opdaterede produkter i kategorierne webbrowser, cloud-native/container, virtualisering, virksomhedsapplikationer, server, lokal eskalering af privilegier (EoP), virksomhedskommunikation og automotive.
På anden dag vil Pwn2Own-deltagere forsøge at udnytte zero-day-fejl i Windows 11, VMware Workstation, Oracle VirtualBox, Mozilla Firefox, Ubuntu Desktop, Google Chrome, Docker Desktop og Microsoft Edge.
Hacker præmier
Efter to dages hackingkonkurrence kan hackerne tjene over $1,300,000, inklusive en Tesla Model 3-bil. Den øverste præmie for at hacke en Tesla er nu $150,000, og selve bilen.
Deltagere kan vinde en maksimal præmie på $500,000 og en Tesla Model 3-bil for et eksploit, der giver fuldstændig fjernkontrol med ubegrænset root, når man målretter Tesla Autopilot.
Ved hjælp af en Windows kernel-sårbarhed kan de også få en $300,000 belønning for en vellykket Hyper-V Client guest-to-host flugt og en privilegieeskalering på værts-OS.
I sidste års Vancouver Pwn2Own, vundet af Team Synacktiv, tjente hackere $1,035,000 og en Tesla-bil for 27 zero-days (og flere bug konflikter) i Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, og Teslas Model 3.
Som det var ventet så hackede Synacktiv også Teslas modem og infotainmentsystem under den første udgave af Pwn2Own Automotive i januar, hvor de opnåede fuld root-tilladelser på et Tesla-modem ved at kæde tre zero-days sammen og demonstrerede en infotainmentsystem-sandkasseflugt via en to zero-day eksploitkæde.
Konkurrencen fortsætter med at tiltrække verdensklasse sikkerhedsforskere, der sætter deres færdigheder på prøve mod nogle af de mest sikre teknologier.
Med en samlet præmiepulje, der overstiger $1,3 millioner, inklusive en Tesla Model 3, understreger Pwn2Own Vancouver 2024 betydningen af at finde og rette sårbarheder for at styrke den digitale sikkerhed verden over til gavn for os alle, da alle producenter får 3 måneder til at rette fejlene.
Hacker konkurrencer
Hacker konkurrencer er en vigtig del af cybersikkerhedssamfundet, hvor deltagere fra hele verden udfordres til at finde og udnytte sikkerhedssårbarheder i software, hardware og netværkssystemer. Disse begivenheder har flere formål:
- de fremhæver potentiel software og hardware sårbarheder,
- tilbyder praktisk erfaring til sikkerhedsforskere og udviklere, og
- fremmer udviklingen af sikrere teknologier.
Her er en kort liste over nogle af de mest kendte hacker konkurrencer globalt, organiseret i en tabel med navn og land. Bemærk, at mange af disse begivenheder er årlige og afholdes i forskellige lande, afhængigt af arrangementet.
Navn | Land | Bemærkninger |
---|---|---|
Pwn2Own | International | Afholdes ofte i Canada, USA og Japan |
DEF CON CTF | USA | En del af DEF CON hackerkonferencen |
Hack The Box CTF | International | Online konkurrence |
Google CTF | International | Online konkurrence |
CyberLympics | International | Online og onsite konkurrencer |
CSAW CTF | USA | Organiseret af NYU Tandon School of Engineering |
Nullcon HackIM | Indien | Afholdes i Goa, Indien |
European Cyber Security Challenge | Europa | Afholdes i forskellige europæiske lande |
Vi har også hackerkonkurrencer i Danmark og i de nordiske lande. Disse begivenheder kan variere fra år til år både i hyppighed og størrelse, men her er nogle af de mere bemærkelsesværdige eller tilbagevendende konkurrencer i regionen.
Navn | Land | Bemærkninger |
---|---|---|
Danish Cyber Championship | Danmark | National cybersikkerhedskonkurrence for studerende og professionelle |
Nordic CTF | Nordiske lande | Årlig begivenhed, der roterer mellem de nordiske lande |
Sectech CTF | Sverige | Afholdes som en del af Sectech sikkerhedsmesse i Stockholm |
Disobey CTF | Finland | Del af Disobey hackerfestivalen i Helsinki |
T2 CTF | Finland | Årlig hackerkonkurrence afholdt i Helsinki |
Disse begivenheder tjener til at samle cyber sikkerhedssamfundet i Danmark og de nordiske lande, tilbyde en platform for talentudvikling og netværksdannelse, samt fremme bevidsthed omkring sikkerhedsudfordringer og løsninger.
De giver deltagere mulighed for at teste deres evner i en kontrolleret og konkurrencepræget kontekst, mens de bidrager til at forbedre sikkerheden for teknologier og systemer, vi alle er afhængige af. Mest kendt er vort Cyber landshold, der deltager på andre hackerkonkurrencer.
Disse konkurrencer spænder fra Capture The Flag (CTF) begivenheder, hvor deltagerne løser sikkerhedsrelaterede udfordringer for at “erobre flaget”, til konkurrencer, der fokuserer på specifikke teknologier som webbrowsere, biler og mobile enheder.
Nogle af disse begivenheder, som Pwn2Own, tilbyder store pengepræmier og er sponsoreret af store teknologivirksomheder med det formål at identificere og rette sårbarheder i deres produkter.
Hacker konkurrencer spiller en vigtig rolle i at styrke den globale cybersikkerhed ved at opdage og lukke sikkerhedshuller, før de kan udnyttes af ondsindede aktører. De tilbyder også en unik platform for talentfulde sikkerhedsforskere til at vise deres evner og bidrage til en sikrere digital fremtid.
Her er et par af de mest kendte som er regionale, det vil sige inkluderer flere lande:
Her er nogle eksempler på regionsspecifikke hackerkonkurrencer:
Navn | Region | Bemærkninger |
---|---|---|
European Cyber Security Challenge (ECSC) | EU | Årlig begivenhed, der bringer unge talenter fra hele Europa sammen for at konkurrere i cybersikkerhed |
Asia Pacific CTF (APAC CTF) | Asien | Regional CTF-konkurrence, der sigter mod at engagere cybersikkerhedstalenter i Asien-Stillehavsregionen |
Pan-American CTF | Amerika | Omfatter deltagere fra både Nord- og Sydamerika, med fokus på at udvikle cybersikkerhedsfærdigheder på tværs af kontinenterne |
Latin American Cyber Security Challenge | Sydamerika | Ligner ECSC, men for lande i Latinamerika, med målet om at fremme cybersikkerhedstalenter i regionen |
Ring og høre mere om hacking og IT sikkerhed, du kan leje whitehat hackere og gidselsforhandlere af os.
Kilde: ICARE.DK
Fotokredit: stock.adobe.com
Personer/Firmaer: Pwn2Own, Microsoft, Google, Tesla, VMWARE
Copyrights: Ⓒ 2024 Copyright by icare.dk – kan deles ved aktivt link til denne artikel.