Соревнования Pwn2Own являются важным мероприятием в области кибербезопасности, на котором участники демонстрируют свои навыки взлома разнообразных систем и программного обеспечения. В рамках конференции CanSecWest в Ванкувере в 2023 году было продемонстрировано 27 успешных атак на различные цели, среди которых были операционные системы, приложения и даже автомобиль Tesla.
На соревнованиях Pwn2Own 2023 участники продемонстрировали успешные атаки на следующие системы и программы:
- Ubuntu Desktop – 5 взломов, связанных с двойным освобождением памяти, обращением к памяти после освобождения и некорректной работой с указателями.
- Apple macOS – повышение привилегий за счет эксплуатации уязвимости в операционной системе.
- Oracle VirtualBox – 3 взлома с использованием уязвимостей, вызванных обращением к памяти после освобождения, переполнением буфера и чтением из области вне буфера.
- Microsoft Windows 11 – 2 атаки, позволившие повысить свои привилегии с использованием уязвимостей, вызванных обращением к памяти после освобождения и некорректной проверкой входных данных.
- Microsoft Teams – атака с использованием цепочки из двух ошибок.
- Microsoft SharePoint – успешная атака на корпоративную систему.
- VMWare Workstation – взлом с использованием уязвимости, связанной с обращением к памяти после освобождения и неинициализированной переменной.
- Adobe Reader – выполнение кода при обработке контента в программе с помощью сложной цепочки из 6 ошибок.
- Информационно-развлекательная система автомобиля Tesla и Gateway Tesla – 2 атаки, позволившие получить root доступ.
В результате успешных атак на данные системы и программы, участникам соревнований были выплачены вознаграждения на общую сумму 1,035,000 долларов США и автомобиль Tesla Model 3.
Соревнования Pwn2Own играют ключевую роль в обеспечении кибербезопасности и развитии защитных механизмов различных систем и приложений. Благодаря этим мероприятиям специалисты в области кибербезопасности имеют возможность выявить уязвимости, разработать методы их устранения, а также обменяться опытом и знаниями с коллегами по сообществу.
Следует отметить, что хотя успешные атаки на различные системы и программы были продемонстрированы на Pwn2Own 2023, это не означает, что они являются небезопасными. Напротив, выявленные уязвимости позволяют разработчикам улучшить свои продукты и сделать их еще более безопасными для пользователей.
Кроме того, подобные соревнования стимулируют развитие новых технологий и методов обнаружения и устранения уязвимостей, что является одним из основных направлений работы в области кибербезопасности. В целом, мероприятия типа Pwn2Own способствуют укреплению общей кибербезопасности и защите пользователей от возможных атак в цифровом мире.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России