idNSA.id - Kontes hacking Pwn2Own edisi musim semi 2021 berakhir minggu lalu pada 8 April dengan pertandingan tiga arah antara Team Devcore, OV, dan peneliti Computest Daan Keuper dan Thijs Alkemade.
Sebanyak $ 1,2 juta diberikan untuk 16 eksploitasi high-profil selama acara virtual tiga hari yang diselenggarakan oleh Zero Day Initiative (ZDI).
Target dengan upaya yang berhasil termasuk sistem operasi Zoom, Apple Safari, Microsoft Exchange, Microsoft Teams, Parallels Desktop, Windows 10, dan Ubuntu Desktop.
Beberapa yang menjadi sorotan utama adalah sebagai berikut:
1. Menggunakan bypass otentikasi dan eskalasi hak istimewa lokal untuk sepenuhnya mengambil alih server Microsoft Exchange, di mana tim Devcore menjaring $ 200.000
2. Merangkai sepasang bug untuk mencapai eksekusi kode di Microsoft Teams, peneliti OV menghasilkan $ 200.000
3. A zero-click exploit targeting Zoom yang menggunakan three-bug chain untuk mengeksploitasi aplikasi messenger dan mendapatkan eksekusi kode pada sistem target. ($ 200.000)
4. Eksploitasi cacat bilangan bulat overflow di Safari dan penulisan di luar batas untuk mendapatkan eksekusi kode tingkat kernel ($ 100.000)
5. Eksploitasi yang ditujukan pada mesin rendering JavaScript V8 untuk meretas browser Google Chrome dan Microsoft Edge (Chromium) ($ 100.000)
6. Memanfaatkan bug use-after-free , race condition, dan integer overflow di Windows 10 untuk meningkat dari pengguna biasa ke hak istimewa SISTEM (masing-masing $ 40.000)
7. Menggabungkan tiga kekurangan - kebocoran memori yang tidak diinisialisasi, stack overflow, dan integer overflow - untuk keluar dari Parallels Desktop dan mengeksekusi kode pada sistem operasi yang mendasarinya ($ 40.000)
8. Memanfaatkan bug kerusakan memori untuk berhasil mengeksekusi kode pada sistem operasi host dari dalam Parallels Desktop ($ 40.000)
9. Eksploitasi bug akses out-of-bounds untuk meningkatkan dari pengguna standar ke root pada Desktop Ubuntu ($ 30.000)
The Zoom Vulnerability dimanfaatkan oleh Daan Keuper dan Thijs Alkemade dari Computest Keamanan sangat penting karena kelemahan tidak memerlukan interaksi dari korban selain menjadi peserta pada panggilan Zoom. Terlebih lagi, ini memengaruhi versi aplikasi Windows dan Mac, meskipun tidak jelas apakah versi Android dan iOS juga rentan.
Peneliti independen Alisa Esage juga membuat sejarah sebagai wanita pertama yang memenangkan Pwn2Own setelah menemukan bug di software virtualisasi Parallels. Tetapi dia hanya dianugerahi kemenangan parsial karena masalah tersebut telah dilaporkan ke ZDI sebelum acara tersebut.
"Saya hanya bisa menerimanya sebagai kenyataan bahwa partisipasi Pwn2Own sukses. Saya tertarik dengan pengawasan untuk poin yang diperdebatkan dan berpotensi usang tertentu dalam peraturan kontes," Esage tweeted , menambahkan, "Di dunia nyata tidak ada hal seperti itu sebagai 'arguable point. Eksploitasi merusak sistem target atau tidak. "
