Pwn2Own 2021 Day 1 の結果:Microsoft Teams、Exchange Server など

Pwn2Own 2021 は 4 月 6 ^th に 3 日間の開催を開始しました 2021 年 1000 EST で、イベントは YouTube、Twitch、およびその会議 Web サイトでストリーミングされます。今年は10商品を対象に、3日間で23回の試行を予定しています。初日の結果は、Microsoft Exchange、Microsoft Teams、Windows 10、および Apple の Safari ブラウザに対するハッキングの試みが成功して終了しました。

まだ疑問に思っている方のために、CanSecWest セキュリティ カンファレンスで毎年開催される倫理的なコンピューター ハッキング コンテストである Pwn2Own について簡単に説明します。このチャレンジの主な目的は、最も一般的に使用されているソフトウェアのセキュリティの脆弱性を示すことです。これらの欠点をうまく強調したチームには、賞金が与えられます。

Pwn2Own 2021 1 日目の結果

今年、Pwn2Own は、前年と比較して最大のコンテストの 1 つを開催しました。最初の成功した結果は、RET2 Systems の Jack Dates によって達成され、Apple の Safari で整数オーバーフローを使用して、Web ブラウザー カテゴリで $100,000 を獲得しました。これに続いて、Devcore チームは Microsoft Exchange Server を引き継ぐことで 200,000 ドルを獲得しました。

さらに、Microsoft Teams は、コードの実行を実証するために 2 つのバグを組み合わせた研究者によって次に侵害されました。この努力は $200,000 で報われ、次のイベントは私たちのほとんどを驚かせるでしょう。 Team Viettel は通常のユーザーとして Windows 10 PC にログインし、整数オーバーフローを使用してすべてのシステム権限を取得しました。これにより、チームは明日の Microsoft Exchange への攻撃の準備をしている間、初日に 40,000 ドルを獲得することができました。

Flatt Security Inc の Ryota Shiga 氏が標準ユーザーから root ユーザーに移行したため、Windows 10 が侵害されたため、Ubuntu Desktop も運を見つけることができませんでした。この偉業は、OOB アクセス バグを使用して達成され、報酬として $30,000 を獲得しました。

ただし、2 つの別々のイベントで Parallels Desktop と Oracle VirtualBox を対象としていた Star Labs チームがいずれの試みでも成功しなかったように、すべてのチームが今日成功したわけではありません。

Pwn2Own 2021の詳しいスケジュールはこちら