Завершилось крупнейшее хакерское состязание – весенний Pwn2Own 2021. На этот раз все закончилось трехсторонней ничьей между командами Team Devcore и OV, а также дуэтом ИБ-экспертов Даана Кёпера (Daan Keuper) и Тийса Алкемаде (Thijs Alkemade) из Computest. Все три команды завершили соревнование, получив по 20 баллов.
Суммарно за три дня участники Pwn2Own заработали 1 млн 210 тыс. долларов. Подробные результаты можно найти в блоге Trend Micro Zero Day Initiative (ZDI).
В нормальных обстоятельствах мероприятие проходит в рамках конференции CanSecWest в Канаде, но из-за пандемии коронавируса в этом году Pwn2Own снова провели в онлайн-формате, как весенний и осенний конкурс в 2020-м. Для этого организаторы еще в январе опубликовали список подходящих целей. Заявки подали несколько команд, в общей сложности запланировав 23 взлома для десяти различных продуктов из списка. У участников было 15 минут на запуск эксплоита и удаленное выполнение кода внутри целевого приложения. За каждый сработавший эксплоит полагался денежный приз от спонсоров и баллы для турнирной таблицы.
По итогам соревнования были успешно скомпрометированы Windows 10, Ubuntu, Safari, Chrome, Zoom, Microsoft Exchange, Microsoft Teams и Parallels Desktop. Интересно, что никто не попытался взломать автомобиль Tesla Model 3, предоставленный для состязания. Последний раз машину взломали в 2019 году.
Наиболее впечатляющей и опасной компрометацией этого года ИБ-специалисты однозначно признали взлом Zoom, не требующий взаимодействия с пользователем. Метод продемонстрировали Даан Кёпер и Тийс Алкемаде из Computest. Этот эксплоит принес экспертам 200 тыс. долларов.
Известно, что эксплоит объединяет в себе сразу три уязвимости и работает на новейших версиях Windows 10 и Zoom. В демонстрации исследователей жертва просто получила приглашение на встречу от злоумышленника, не понадобилось даже куда-либо кликать: вредоносный код был выполнен автоматически. Так как уязвимости еще не были исправлены, технические подробности атаки пока хранятся в секрете.
Атака работает против версий Zoom для Windows и Mac, но еще не тестировалась на iOS или Android. Разработчики Zoom уже сообщили СМИ, что трудятся над устранением проблемы, и поблагодарили экспертов за работу.
«Мы очень серьезно относимся к безопасности и высоко ценим исследование Computest. Мы работаем над устранением этой проблемы в Zoom Chat, нашего продукта для групповых сообщений. Данная проблема не влияет на внутрисессионный чат в Zoom Meetings и Zoom Video Webinars. Кроме того, атака должна исходить от принятого внешнего контакта или быть частью учетной записи той же организации. Zoom рекомендует пользователям принимать запросы на добавление в контакты только от людей, которых они знают и которым доверяют», – пояснили они.
| Источник: xakep.ru.
Перепечатка материалов допускается с письменного разрешения «учреждение «Редакция газеты «Зара над Нёманам».
Назад