Tijdens de laatste dag van de Pwn2Own-wedstrijd hebben beveiligingsonderzoekers verschillende zerodaylekken in Microsoft Exchange, Parallels Desktop, Ubuntu Desktop en Windows 10 getoond. Een aantal van de gedemonstreerde kwetsbaarheden was echter al door andere onderzoekers gevonden.

Pwn2Own is een jaarlijks terugkerende wedstrijd waar beveiligingsonderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire software. Details over de beveiligingslekken worden niet openbaar gemaakt, maar gedeeld met de betreffende leverancier, zodat die een beveiligingsupdate kan ontwikkelen.

Op de derde en laatste dag van het evenement lieten onderzoekers Benjamin McBride van L3Harris Trenchant, Alisa Esage en Da Lao onafhankelijk van elkaar een succesvolle zeroday-aanval tegen virtualisatiesoftware Parallels Desktop zien. Het lukte de drie onderzoekers om door middel van een kwetsbaarheid het onderliggende besturingssysteem vanuit Parallels Desktop over te nemen. Het beveiligingslek dat Esage gebruikte was echter al door een andere onderzoeker gerapporteerd bij het Zero Day Initiative, dat Pwn2Own organiseert.

Onderzoekers Billy Jheng Bing-Jhong van STAR Labs en onderzoeker Vincent Dehors toonden beiden een succesvolle aanval tegen Ubuntu Desktop, waarbij ze de rechten van een standaard gebruiker konden verhogen naar root. De kwetsbaarheid die Jheng Bing-Jhong gebruikte was echter al bij Ubuntu bekend en zal binnenkort worden gepatcht.

Onderzoekers Fabien Perigaud van Synacktiv en Marcin Wiazowski lieten zien hoe ze via een use-after-free bug in Windows 10 de rechten van een standaard gebruiker kunnen verhogen naar die van system. De kwetsbaarheid waarvan Perigaud gebruikmaakte was echter al bekend bij Microsoft.

Op de eerste en tweede dag lieten onderzoekers al succesvolle aanvallen tegen Microsoft Exchange zien en op de derde dag was dat weer het geval. Het lukte Steven Seeley van Source Incite om op afstand een volledig gepatchte Exchange-server over te nemen. De onderzoeker gebruikte twee onbekende kwetsbaarheden voor zijn aanval. Een deel van de aanval vond plaats via een “man-in-the-middle aspect”, wat niet is toegestaan. De aanval werd dan ook als een ‘partial win’ bestempeld.

In totaal ontvingen onderzoekers voor hun aanvallen de afgelopen drie dagen in totaal 1,2 miljoen dollar aan prijzengeld. Wanneer de gedemonstreerde kwetsbaarheden worden verholpen is onbekend.

Source