Setiap tahun, Zero Day Initiative menyelenggarakan kontes peretasan 'Pwn2Own' di mana peneliti keamanan dapat memperoleh uang untuk menemukan kerentanan serius di platform utama seperti Windows dan macOS.
Acara virtual Pwn2Own 2021 ini dimulai awal minggu ini dan menampilkan 23 upaya peretasan terpisah di 10 produk berbeda termasuk browser web, virtualisasi, server, dan banyak lagi. Acara tiga hari yang berlangsung beberapa jam sehari, acara Pwn2Own tahun ini disiarkan langsung di YouTube.
Produk Apple tidak terlalu ditargetkan di Pwn2Own 2021, tetapi pada hari pertama, Jack Dates dari RET2 Systems menjalankan Safari ke kernel zero-day exploit dan menghasilkan $100.000. Dia menggunakan integer overflow di Safari dan penulisan OOB untuk mendapatkan eksekusi kode tingkat kernel, seperti yang didemonstrasikan dalam tweet di bawah ini.
Selamat Jak! Mendaratkan Apple Safari 1-klik ke Kernel Zero-day di #Pwn2Own 2021 atas nama RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Sistem RET2 (@ret2systems) 6 April 2021
Upaya peretasan lainnya selama acara Pwn2Own menargetkan Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome, dan Microsoft Edge.
Cacat Zoom yang serius ditunjukkan oleh peneliti Belanda Daan Keuper dan Thijs Alkemade, misalnya. Duo ini mengeksploitasi trio kelemahan untuk mendapatkan kontrol total dari PC target menggunakan aplikasi Zoom tanpa interaksi pengguna.
Kami masih mengkonfirmasi detail dari #Perbesar eksploitasi dengan Daan dan Thijs, tetapi inilah gif yang lebih baik dari bug yang sedang beraksi. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Inisiatif Zero Day (@thezdi) 7 April 2021
Peserta Pwn2Own menerima hadiah lebih dari $1,2 juta untuk bug yang mereka temukan. Pwn2Own memberi vendor seperti Apple 90 hari untuk membuat perbaikan untuk kerentanan yang ditemukan, sehingga kami dapat mengharapkan bug untuk diatasi dalam pembaruan dalam waktu yang tidak terlalu lama.
Pesan Populer