PWN2OWN 2021-黑客三天共斩获超121万美元奖金
Pwn2Own 2021黑客大赛已经结束。
这三天,黑客们八仙过海各显神通,在浏览器、虚拟化、服务器、本地特权提升和企业通信类别中的利用,获得超过121万美元的奖金,比以往任何一期都多。
在三天的时间里,参与者针对Safari、Chrome、Edge、Windows 10、Ubuntu、Microsoft Teams、Zoom、Parallels、Oracle VirtualBox和Microsoft Exchange等产品进行了23次尝试。Oracle VirtualBox由一个团队作为目标,他们的尝试失败。其他产品全部被至少有一个团队入侵演示成功。
安全研究人员(白帽黑客)从Devcore团队获得Exchange服务器漏洞的最高奖励,为OV的Microsoft Teams漏洞获得研究人员的最高奖励,而Computest的Daan Keuper和Thijs Alkemade则获得Zoom漏洞。他们每个人的获得奖励分别为20万美元,并且每个人总共获得相同数量的积分,他们共同荣获第一名。
根据组织Pwn2Own的趋势科技的零日倡议(ZDI),本次大赛设置奖金150万美元,黑客们共同获得奖金中的1,21万美元。相比之下,在2020年,参与者的功劳仅赚了27万美元。2019年,奖金总额为54.5万美元。
0900- L3Harris Trenchant的Benjamin McBride在“虚拟化”类别中定位了Parallels Desktop
成功-Ben使用内存损坏错误从Parallels Desktop内部成功在主机OS上执行代码。获得40,000美元和4个Pwn积分。
1000- Source Incite的Steven Seeley在“服务器”类别中定位了Microsoft Exchange
部分-Steven)演示中使用了两个独特的漏洞,但由于漏洞利用的中间人,因此这次尝试是部分获胜。作为一项出色的研究,他获得7.5的Pwn积分。
1130- Billy的STAR Labs团队针对“本地特权提升”类别中的Ubuntu桌面
部分-成功地将特权逐步升级为root用户,但他所使用的错误已为供应商所知,并将很快得到修补。他赢得了2点额外的Pwn积分,未获得奖金。
1230- Synacktiv的Fabien Perigaud在“本地特权提升”类别中以Windows 10为目标
部分-演示中对ASCII艺术进行了出色的使用,但此前微软已经获知该漏洞,判定为部分成功,获得2点Pwn积分。
1330 -艾丽莎Esage在虚拟化类别定位的Parallels Desktop
部分:赛前Alisa所使用的漏洞已报告给ZDI,所以算作部分成功。这仍然是一项出色的工作,她成为Pwn2Own历史上第一个作为独立研究人员参加研究的女性,她的努力为她赢得2个Pwn积分。
1430- Synacktiv的Vincent Dehors在“本地特权提升”类别中将Ubuntu桌面定位为目标
成功-他为Linux编写的第一个漏洞,但Vincent并没有因为双重免费漏洞而升级为root的问题,自己赢得30,000美元和3个Pwn积分。
1530-Da Lao在“虚拟化”类别中将Parallels Desktop定位为目标
成功-名为Da Lao的研究人员使用OOB Write成功完成了Parallels中从主机到主机的转义。他获得40,000美元,并获得4个Pwn积分。
1630-Marcin Wiazowski在“本地特权提升”类别中以Windows 10为目标
成功-Marcin使用了免费使用后(UAF)错误升级到Windows 10上的SYSTEM。他赢得了自己的40,000美元和4个Pwn积分。
这基本上是本届PWN2OWN第三天的一个情况,上面可以看到第三天黑客们共分享了15万美金的奖励。本届黑客们收获满满,共分享了121万美元。属近几年历史之最。
白帽黑客就是把网络和网络产品的问题挖掘出来,面对问题我们采取何种处理方式,是我们对待世界的一个态度。有些人,遇到问题喜欢逃避,但问题终究还是问题;有些人,则遇到问题解决问题,问题自然不成为问题。所以,正确的看待网络安全中的风险和漏洞,积极解决所面临的安全风险和隐患,是提升网络及网络产品安全的正确态度。