Первым, кто продемонстрировал успешный эксплойт Windows 10 и заработал 40 000 долларов, был участник Тао Ян из компании Palo Alto Networks, который использовал ошибку Race Condition для повышения привилегий от обычного пользователя к SYSTEM на полностью исправном компьютере с Windows 10.
Во второй раз Windows 10 взломали с использованием недокументированной уязвимости целочисленного переполнения для повышения разрешений до NT Authority\SYSTEM. Успешный взлом продемонстрировал участник с ником z3r09. Он так же заработал 40 000 долларов после того как повысил привилегия от обычного (непривилегированного) пользователя.
Операционная система компании Microsoft была взломана в третий раз в течение первого дня соревнования Pwn2Own командой Viettel, которая повысила привилегии обычного пользователя до SYSTEM, используя еще одну ранее неизвестную ошибку переполнения целых чисел.
Команда Viettel также продемонстрировала цепочку эксплойтов выполнения кода на сервере Microsoft Exchange Server на второй день соревнований. Тем не менее, их участие было сочтено частично успешным, учитывая, что некоторые из использованных ими ошибок были ранее сообщены в первый день соревнований командой Devcore.
Confirmed! Tao Yan (@Ga1ois) of Palo Alto Networks used a Race Condition bug to escalate to SYSTEM on a fully patched #Windows 10 box. He earns ,000 and 4 Master of Pwn points. #Pwn2Own pic.twitter.com/XQw14DvkfU
— Zero Day Initiative (@thezdi) April 7, 2021
На второй день соревнований исследователи Бруно Кейт и Никлас Баумстарк из компании Dataflow Security также заработали 100 000 долларов за обнаружение уязвимости, использующей ошибки несоответствия типов в браузерах Google Chrome и Microsoft Edge на основе Chromium.
Не обошли стороной и Zoom, программа была взломана исследователями Daan Keuper и Thijs Alkemade из компании Computest. Они заработали 200 000 долларов, добившись выполнения кода на целевой машине с помощью цепочки эксплойтов, объединяющей три различных ошибки.
И последнее, но не менее важное: операционная система Ubuntu Desktop во второй раз была взломана исследователем Манфредом Полом, который сумел получить привилегии root и заработал 30 000 долларов.
В течение первых двух дней соревнования Pwn2Own 2021 исследователи безопасности впервые превысили отметку в 1 миллион долларов после успешной демонстрации эксплойтов, которые в общей сложности принесли им 1 060 000 долларов.
После того, как уязвимости будут использованы и раскрыты на Pwn2Own, поставщикам программного и аппаратного обеспечения дается 90 дней на то, чтобы выпустить исправления безопасности для всех обнаруженных уязвимостей.
Общий призовой фонд соревнования Pwn2Own 2021 составляет 1500000 долларов, а так же электромобиль Tesla Model 3. Однако, согласно общедоступному графику, ни одна из 23 участвующих команд до сих пор не решилась на демонстрацию эксплойта, нацеленного на автомобиль Tesla.
В 2019 году команда Fluoroacetate выиграла электромобиль Tesla Model 3 на соревновании Pwn2Own, взломав информационно-развлекательную систему электромобиля, которая была основана на движке Chromium. Команда Fluoroacetate также заработала 375000 долларов на соревновании Pwn2Own 2019 после успешной демонстрации нескольких эксплойтов, нацеленных на Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox и Microsoft Edge.
Угрозы безопасности
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России
• Apple исправляет уязвимость «нулевого дня» в iOS 18.3.2, iPadOS 18.3.2 и macOS Sequoia 15.3.2
• Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub