macOS, Windows 10 și Ubuntu au fost unele dintre software-urile care au fost sparte încă din prima zi a evenimentului Pwn2Own 2020. Un total de 180.000 de dolari au fost puși la bătaie pentru descoperirea de 9 bug-uri din 3 categorii, iar hackerii au reușit să învingă mecanismele de securitate în trei dintre cele mai populare sisteme de operare desktop.
Datorită coronavirusului, evenimentul anual Pwn2Own a avut loc în mod virtual, în loc de Vancouver. Hackerii au pregătit în prealabil exploatările și le-au trimis organizatorilor pentru a face demonstrția într-o prezentare live.
Sistemul de operare desktop de la Apple a fost vizat printr-o vulnerabilitate în Safari, cu o creștere a privilegiului pentru nucleul macOS. Câștigătorii au fost Georgie Tech Systems Software & Security Lab care au luat 70.000 de dolari pentru exploatarea lor de succes, care consta din șase bug-uri. De asemenea, echipa a reușit să dezactiveze sistemul de protecție a integrității pe Mac pentru a arăta că a fost obținut accesul la nivel de kernel.
Windows 10 a fost spart de Flourescence, un veteran Pwn2Own care și-a folosit bug-ul fără întrebuințare (UAF) pentru a obține privilegii crescute ale sistemului în Windows. A câștigat 40.000 de dolari pentru această exploatare de succes.
Ubuntu a fost dovedit de echipa CTR RedRocket, cu un exploit de escaladare a privilegiilor locale (LPE). O greșeală de validare a intrării incorecte în nucleul Ubuntu a fost exploatată pentru a obține acces la rădăcină. Exploatarea de succes a primit 30.000 de dolari.
În cele din urmă, în ziua 1, Fluoroacetate a folosit un alt bug pentru a obține acces la sistemul Windows dintr-un cont de utilizator standard. Fluoroacetatul a primit 40.000 de dolari pentru exploatare
În ziua 2, VirtualBox, Adobe Reader de pe Windows și VMWare Workstation au fost sparte de diferite echipe. În timp ce echipele din spatele expluatării pentru VirtualBox și Adobe Reader au câștigat 40.000 de dolari și, respectiv, 50.000 de dolari, echipa din spatele hack-ului VMWare Workstation nu a putut să-și demonstreze exploatarea în timpul alocat. Organizatorii au confirmat ulterior că eroarea era validă.
Toate companiile din spatele acestor sisteme de operare și software au primit informații despre exploatări pentru a le ajuta să remedieze erorile în actualizările viitoare. Companiilor li se acordă 90 de zile pentru a realiza un update de securitate. După ce a trecut acest timp, bug-urile vor fi făcute publice.
În mod suspect, nici Android, nici iOS nu au făcut parte din exploatările de succes din acest an, ceea ce este o veste bună pentru utilizatori. Cu toate acestea, după cum arată exploatările Pwn2Own, nicio platformă nu este 100% sigură, așa că este recomandat să urmați cele mai bune practici pentru a vă păstra datele în siguranță.