pwn2ownBeveiligingsonderzoekers hebben tijdens de Pwn2Own-wedstrijd zerodaylekken in onder andere Adobe Reader, VirtualBox en Safari gedemonstreerd waardoor aanvallers systemen kunnen overnemen. Wanneer Adobe, Apple en Oracle met updates voor de kwetsbaarheden komen is nog onbekend.

Pwn2Own is een jaarlijkse door het Zero Day Initiative (ZDI) georganiseerde wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in browsers, virtualisatiesoftware en andere programma's. Vanwege het coronavirus werd voor het eerst in het dertienjarig bestaan van de wedstrijd besloten om deelnemers op afstand deel te laten nemen. Hiervoor moesten deelnemers een uitgebreid whitepaper inzenden waarin ze hun exploit uitleggen en instructies geven hoe die is uit te voeren. Een medewerker van het ZDI voerde de exploit vervolgens uit op het testsysteem.

Deze werkwijze lijkt het twee dagen durende evenement parten te hebben gespeeld, want het soort en aantal gedemonstreerde kwetsbaarheden viel in vergelijking met voorgaande jaren tegen. Zo was er 700.000 dollar uitgeloofd voor een remote aanval op een Tesla Model 3, maar werd er geen enkele poging ondernomen om de auto aan te vallen. Op de eerste dag vonden er in totaal vier demonstraties plaats, terwijl dit er normaliter veel meer zijn. Het ging om twee aanvallen tegen Windows, een aanval tegen Ubuntu en een aanval tegen MacOS.

Alleen de aanval tegen MacOS is op afstand uit te voeren. Onderzoekers van Georgia Tech Systems Software & Security Lab maakten gebruik van zes unieke kwetsbaarheden in Safari en MacOS om op afstand code met kernelrechten uit te voeren. Alleen het bezoeken van een kwaadaardige website is voldoende om een aanvaller controle over het systeem te geven. De demonstratie werd met 70.000 dollar beloond. De resterende aanvallen tegen Windows en Ubuntu waren "local privilege escalation" aanvallen. Hierbij moet een aanvaller al toegang tot een systeem hebben. Via de kwetsbaarheden is het dan mogelijk om hogere rechten te krijgen.

De tweede dag begon met een aanval tegen VirtualBox, de populaire virtualisatiesoftware van Oracle. Zowel het gevirtualiseerde systeem als het onderliggende host-systeem draaiden Windows 10. Via de kwetsbaarheid in VirtualBox lukte het de Vietnamese beveiligingsonderzoeker Ph?m Hong Phi om het host-systeem over te nemen. De aanval werd met 40.000 dollar beloond.

De tweede en laatste succesvolle demonstratie van de dag bestond uit een aanval op Adobe Reader. Alleen het openen van een kwaadaardig pdf-document was voldoende om de onderzoekers van team Fluoroacetate volledige controle over het systeem te geven. Hiervoor maakten ze gebruik van een kwetsbaarheid in Adobe Reader en een rechtenlek in Windows 10. De demonstratie leverde 50.000 dollar op. Het ZDI zal de kwetsbaarheden met de betreffende bedrijven delen, zodat die updates voor hun gebruikers kunnen ontwikkelen. Daarna zullen de details van de beveiligingslekken openbaar worden gemaakt.

Bron: Security.nl