ในแต่ละปี Zero Day Initiative จะจัดการแข่งขันแฮ็ก 'Pwn2Own' ซึ่งนักวิจัยด้านความปลอดภัยสามารถรับเงินจากการค้นหาช่องโหว่ที่ร้ายแรงในแพลตฟอร์มหลักๆ เช่น Windows และ macOS
กิจกรรมเสมือน Pwn2Own ปี 2021 นี้เริ่มต้นขึ้นเมื่อต้นสัปดาห์นี้ และมีการพยายามเจาะระบบ 23 ครั้งใน 10 ผลิตภัณฑ์ที่แตกต่างกัน รวมถึงเว็บเบราว์เซอร์ ระบบเสมือน เซิร์ฟเวอร์ และอื่นๆ กิจกรรมสามวันซึ่งกินเวลาหลายชั่วโมงต่อวัน งาน Pwn2Own ประจำปีนี้ได้รับการสตรีมสดบน YouTube
ผลิตภัณฑ์ของ Apple ไม่ได้กำหนดเป้าหมายอย่างหนักใน Pwn2Own 2021 แต่ในวันแรก Jack Dates จาก RET2 Systems ได้เรียกใช้ Safari เพื่อใช้ประโยชน์จากเคอร์เนลแบบ zero-day และทำเงินได้ 100,000 ดอลลาร์ เขาใช้จำนวนเต็มล้นใน Safari และการเขียน OOB เพื่อรับการเรียกใช้โค้ดระดับเคอร์เนล ดังตัวอย่างในทวีตด้านล่าง
ขอแสดงความยินดีแจ็ค! เชื่อมโยงไปถึง Apple Safari 1 คลิกไปยังเคอร์เนล Zero-day ที่ # Pwn2Own 2021 ในนามของ RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — ระบบ RET2 (@ret2systems) 6 เมษายน 2564
ความพยายามแฮ็คอื่นๆ ระหว่างกิจกรรม Pwn2Own ที่กำหนดเป้าหมายไปที่ Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome และ Microsoft Edge
ตัวอย่างเช่น นักวิจัยชาวดัตช์ Daan Keuper และ Thijs Alkemade ได้แสดงให้เห็นข้อบกพร่องร้ายแรงของ Zoom ทั้งคู่ใช้ประโยชน์จากข้อบกพร่องสามประการเพื่อควบคุมพีซีเป้าหมายทั้งหมดโดยใช้แอป Zoom โดยที่ผู้ใช้ไม่ต้องโต้ตอบ
เรายังคงยืนยันรายละเอียดของ #ซูม ใช้ประโยชน์จาก Daan และ Thijs แต่นี่เป็น gif ที่ดีกว่าของข้อบกพร่องในการใช้งานจริง # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW - ความคิดริเริ่ม Zero Day (@thezdi) 7 เมษายน 2564
ผู้เข้าร่วม Pwn2Own ได้รับรางวัลมากกว่า 1.2 ล้านเหรียญสหรัฐสำหรับข้อบกพร่องที่พวกเขาค้นพบ Pwn2Own ให้เวลาผู้จำหน่ายอย่าง Apple 90 วันในการแก้ไขช่องโหว่ที่ยังไม่ถูกเปิดเผย ดังนั้นเราจึงสามารถคาดหวังได้ว่าจุดบกพร่องจะได้รับการแก้ไขในการอัปเดตในอนาคตอันใกล้นี้
โพสต์ยอดนิยม