הוכח שוב כי אין מערכת מאובטחת: לינוקס, macOS ו- Windows נופלים ב- Pwn2Own 2020

אין מערכת הפעלה מושלמת. תמיד נאמר. למעשה, מאמר זה מגיע דקות ספורות לאחר מכן בו דיברנו של פגיעות של יום אפס שפרסמו לפני כמה שעות. מה שעלינו לדבר עליו עכשיו הוא משהו פחות רציני, שכן הוא היה ב Pwn2Own 2020 שם נמצאו הבאגים האחרונים ב- Windows 10, macOS ואובונטו. בתיאוריה פחות רציני, כי עכשיו החברות צריכות לתקן את התקלות שנמצאו.

El Pwn2Own שנת 2020 הייתה המהדורה השנה של תחרות להאקרים אחד מאלה שמשרת לפחות שני דברים: הראשון הוא לקחת את כספי הפרס, והשני הוא להכיר את עצמם לעולם, מה שיאפשר להם למצוא עבודה שלעתים יכולה להסתיים בחברה גדולה כמו הם פשוט "פרצו".

אובונטו נוצלה בגלל הליבה שלה ב- Pwn2Own 2020

באשר לינוקס, זו הייתה מערכת ההפעלה אובונטו זו שנפלה יד ביד עם צוות RedRocket CTF. צוות זה מצא ניצול LPE (הסלמת הרשאות מקומיות) שאיפשר להם לקבל גישה לשורש. צוות ההאקינג לקח 30.000 דולר עבור ניצולם. אבל קבוצות אחרות לקחו קצת יותר כסף בשביל, בתיאוריה, למצוא באגים חשובים או רבים יותר.

הפרס הראשון זכה לצוות שמצא א לנצל בספארי על ידי LPE אחר בליבת ה- macOS שהשפיע על הדפדפן שלך. הצוות שגילה זאת, מעבדת התוכנה והאבטחה של ג'ורג'יה טק מערכות, לקח 70.000 דולר לגילויו, בעיקר בגלל שהנצל כלל בסך הכל שישה באגים. הצוות הצליח גם להשבית את ה- SIP (System Integrity Protection) של מערכת ההפעלה.

קצת פחות צבר את המשתמש המכונה Fluorescence, ותיק Pwn2Own שהשתמש בבאג UAF שלו (שימוש לאחר שימוש) בכדי להשיג הרשאות קנה מידה של מערכת ב- Windows. פלואורסצנטי לקח 40.000 $. תוכנות אחרות שהופרו במהלך התחרות היו VirtualBox, Adobe Reader ב- Windows ו- VMWare Workstation, למרות שלא ניתן היה להפגין את האחרון ולא זכה בפרס. המארגנים אכן הצליחו לנצל את הבאג של תחנת העבודה VMWare בדיעבד, אז לפחות הם הזכירו את הצוות שגילה אותו.

התחרות השנה הייתה שונה מהשנים הקודמות: מוחזק באופן מקוון בגלל Coronavirus. בכל מקרה, הוכח שוב כי שום מערכת הפעלה אינה בטוחה, כשם שאין זה בטוח לאף אחד לצאת לרחוב בשלב זה. אז, שוב, אנו נגיד שני דברים: הישאר בבית ושמור על מערכת ההפעלה שלך תמיד מעודכנת היטב.