Bemerkenswerte 90 % der Hacking-Versuche waren erfolgreich
Das Finale des ethischen Hacking-Battles von Pwn2Own ist mit den letzten Events, die am 08. April durchgeführt wurden, endgültig vorbei. Die Ergebnisse teilten sich auf 50 % vollständiger Erfolg und die restlichen 50 % waren Teilgewinne. Die Veranstaltung begann großartig um 09:00 Uhr morgens, als Benjamin McBride 40000 US-Dollar für die Ausführung von Code auf dem Host-Betriebssystem von Parallels Desktop aus gewann.
Bild: Zeroday-Initiative
Die nächsten vier Events in Richtung Microsoft Exchange, Ubuntu Desktop, Windows 10 und Parallels Desktop wurden wegen all der in diesen vier Events verwendeten Methoden als Teilerfolg bezeichnet und der gemeldete Fehler war den jeweiligen Organisationen bereits bekannt. Hier wurden keine Geldpreise vergeben, aber die Gewinner erhielten Punkte für den Master of PWN. Das wichtigste Highlight dieser Veranstaltungen war Alisa Esage, die als erste Frau als unabhängige Forscherin teilnahm und Parallels Desktop in der Kategorie Virtualisierung ins Visier nahm.
Bild mit freundlicher Genehmigung: Twitter
Die letzten drei Events für Ubuntu Desktop, Parallels Desktop und Windows 10 Desktop waren alle erfolgreich und wurden mit Geldpreisen ausgezeichnet. Vincent Dehors forderte 30.000 US-Dollar, um durch einen doppelten Fehler zum Stamm des Ubuntu-Desktops zu eskalieren. Der nächste Preis in Höhe von 40.000 US-Dollar wurde von Da Lao beansprucht, der über OOB Write in Parallels Desktop Gast zum Hosten absolvierte. Der letzte Sieg des Tages und des Turniers wurde von Marcin Wiazowski erzielt, der einen satten Betrag von 40.000 US-Dollar gewann, nachdem er einen UAF-Fehler verwendet hatte, um Systemzugriff auf einem Windows 10-PC zu erhalten.
Die gesamte Veranstaltung wurde von VMware und anderen Partnern gesponsert, darunter Adobe, Zoom und Tesla. Die Anbieter der Veranstaltung haben 90 Tage Zeit, um einen Fix für die gemeldeten Schwachstellen zu erstellen. Hier ist ein zusammenfassender Bericht aller drei Tage, falls Sie ihn verpasst haben.
Sn Nein
Datum Uhrzeit Ereignis Person/Team
Status
1
06.04.2021 1000 Apple Safari Jack Dates Success 2 06.04.2021 1130 Microsoft Exchange DEVCORE
Erfolg
3
06.04.2021 1300 Microsoft Teams OV-Erfolg
4
06.04.2021 1430 Windows 10 Viettel Success 5 06.04.2021 1530 Parallels Desktop Star Labs
Versagen
06.04.2021 1630 Ubuntu Desktop Ryota Shiga
Erfolg
7
06.04.2021 1730 Oracle Virtualbox Star Labs Ausfall 8 07.04.2021 0900 Parallels Desktop Jack Daten
Erfolg
9
Apr 7, 2021
1000
Google Chrome & Microsoft Edge
Bruno Keith & Niklas BaumStark
Success
10
07.04.2021 1130 Microsoft Exchange Viettel teilweise 11 07.04.2021 1300 Zoom Messenger Daan Keuper & Thijs Alkemade
Erfolg
12.04.2021 1430 Windows 10 Tao Yan
Erfolg
13
07.04.2021 1530 Parallels Desktop Sunjoo Park Success 14 07.04.2021 1630 Ubuntu Desktop Manfred Paul
Erfolg
fünfzehn
07.04.2021 1730 Windows 10 z3r09 Erfolg 16 08.04.2021 0900 Parallels Desktop Benjamin McBride
Erfolg
17
08.04.2021 1000 Microsoft Exchange Steven Seeley Teilweise
18
08.04.2021 1130 Ubuntu Desktop Star Labs
Teilweise
19.04.2021 1230 Windows 10 Fabien Perigaud
Teilweise
20
08.04.2021 1330 Parallels Desktop Alisa Esage Partial 21 08.04.2021 1430 Ubuntu Desktop Vincent Dehors
Erfolg
22
08.04.2021 1530 Parallels Desktop Da Lao Erfolg 23.04.2021 1630 Windows 10 Marcin Wiazowski
Erfolg
Ein Blick auf die obige Tabelle würde Ihnen sagen, dass von den 23 geplanten Veranstaltungen nur 2 fehlschlugen, da das Team die Aufgabe nicht in der vorgegebenen Zeit abschließen konnte und mit 5 Partials 16 Veranstaltungen ein voller Erfolg waren. Die 5 Teilerfolge wurden so genannt, weil die verwendete Methode bzw. der verwendete Bug bereits vor dem Contest bekannt war.
Für vollständige Ergebnisse und weitere Details klicken Sie hier
Der Grund zur Besorgnis ist, dass, wenn Sie die tatsächliche Gesamtzahl der Erfolge zählen, diese 21 von 23 beträgt, was 91% Erfolg (einschließlich Teilgewinne) entspricht. Dies bringt uns einen ernsthaften Gedanken in den Sinn: „Sind die Betriebssysteme und Software, die wir verwenden, so anfällig für Hacker?“ Ich überlasse es Ihnen, darüber nachzudenken und darüber nachzudenken, und teilen Sie Ihre Kommentare bitte im folgenden Abschnitt mit.