4월 8일 진행된 마지막 이벤트를 끝으로 Pwn2Own 윤리적 해킹 대결의 결승전이 드디어 끝났습니다. 결과는 완전한 성공 50%와 부분 승리 50%로 나뉩니다. 이벤트는 오전 9시에 Benjamin McBride가 Parallels Desktop 내 호스트 OS에서 코드를 실행하여 40,000달러를 획득하면서 성대하게 시작되었습니다.
이미지: Zeroday InitiativeMicrosoft Exchange, Ubuntu에 대한 다음 4가지 이벤트 세트 데스크톱, Windows 10 및 Parallels Desktop은 이 네 가지 이벤트에 사용된 모든 방법으로 인해 부분적인 성공으로 평가되었으며 보고된 버그는 이미 각 조직에서 알려진 것이었습니다. 여기에는 상금이 수여되지 않았지만 우승자에게는 Master of PWN 포인트가 주어졌습니다. 이 이벤트의 주요 하이라이트는 독립적인 연구원으로 참여한 최초의 여성인 Alisa Esage였으며 가상화 범주에서 Parallels Desktop을 대상으로 했습니다.
이미지 제공: TwitterUbuntu Desktop, Parallels Desktop을 향한 마지막 3개 이벤트 Windows 10 데스크톱은 모두 성공하여 상금을 받았습니다. Vincent Dehors는 이중 무료 버그를 통해 Ubuntu 데스크탑의 루트로 에스컬레이션하기 위해 30,000달러를 요구했습니다. 다음 상금 $40,000는 Parallels Desktop의 OOB Write를 통해 게스트 호스트를 완료한 Da Lao가 차지했습니다. 오늘의 토너먼트 최종 승리는 Marcin Wiazowski가 UAF 버그를 사용해 Windows 10 PC에서 시스템 액세스 권한을 얻은 후 무려 40,000달러를 획득한 것입니다.
전체 이벤트는 VMware의 후원을 받았습니다. 기타 파트너로는 Adobe, Zoom 및 Tesla가 있습니다. 이벤트 공급업체는 보고된 취약점에 대한 수정 사항을 제공하는 데 90일의 시간을 갖습니다. 놓친 경우를 대비해 3일 전체에 대한 요약 보고서는 다음과 같습니다.
Sn No
날짜 시간 이벤트 개인/팀상태
1
2021년 4월 6일 1000 Apple Safari Jack 날짜 성공 2 2021년 4월 6일 1130 Microsoft Exchange DEVCORE성공
3
2021년 4월 6일 1300 Microsoft Teams OV 성공4
2021년 4월 6일 1430 Windows 10 Viettel 성공 5 2021년 4월 6일 1530 Parallels Desktop Star Labs실패
2021년 4월 6일 1630 Ubuntu Desktop Ryota Shiga성공
7
4월 6일 2021 1730 Oracle Virtualbox Star Labs 실패 8 2021년 4월 7일 0900 Parallels Desktop Jack 날짜성공
9
2021년 4월 7일 1000 Google Chrome & Mi crosoft Edge Bruno Keith & Niklas BaumStark 성공10
2021년 4월 7일 1130 Microsoft Exchange Viettel 부분 11 2021년 4월 7일 1300 Zoom Messenger Daan Keuper & Thijs Alkemade성공
4월 7일 12일 2021 1430 Windows 10 Tao Yan성공
13
2021년 4월 7일 1530 Parallels Desktop 박선주 성공 14 2021년 4월 7일 1630 Ubuntu Desktop Manfred Paul성공
15
2021년 4월 7일 1730 Windows 10 z3r09 성공 16 2021년 4월 8일 0900 Parallels Desktop Benjamin McBride성공
17
2021년 4월 8일 1000 Microsoft Exchange Steven Seeley 부분18
2021년 4월 8일 1130 Ubuntu Desktop Star Labs부분
2021년 4월 8일 1230 Windows 10 Fabien Perigaud부분
20
2021년 4월 8일 1330 Parallels Desktop Alisa Esage 부분 21 2021년 4월 8일 1430 Ubuntu Desktop Vincent Dehors성공
22
2021년 4월 8일 1530 Parallels Desktop Da Lao 성공 2021년 4월 8일 1630 Windows 10 Marcin Wiazowski성공
위의 표를 보면 예정된 23개의 이벤트 중 팀이 완료하지 못했기 때문에 2개의 이벤트만 실패했음을 알 수 있습니다. 할당된 시간 내에 작업을 수행하고 5개의 Partials로 16개의 이벤트가 완전히 성공했습니다. 5개의 부분 성공은 대회 이전에 사용된 방법이나 버그가 이미 알려져 있었기 때문에 소위 말하는 것입니다.
전체 결과와 자세한 내용을 보려면 여기를 클릭하세요.
여기서 우려되는 이유는 실제 총 성공 횟수를 계산하면 23개 중 21개가 성공하여 91%의 성공(부분 승리 포함)에 해당한다는 것입니다. “우리가 사용하는 운영체제와 소프트웨어가 해커에게 그렇게 취약한 걸까?” 이에 대해 곰곰이 생각해 보시고 아래 섹션에서 의견을 공유해 주시기 바랍니다.
읽기: 0
