매년 Zero Day Initiative는 보안 연구원이 Windows 및 macOS와 같은 주요 플랫폼에서 심각한 취약점을 찾아 돈을 벌 수 있는 'Pwn2Own' 해킹 대회를 개최합니다.
이 2021 Pwn2Own 가상 이벤트는 이번 주 초에 시작되었으며 웹 브라우저, 가상화, 서버 등을 포함한 10개의 서로 다른 제품에서 23개의 개별 해킹 시도가 있었습니다. 하루에 여러 시간에 걸쳐 3일간 진행되는 올해의 Pwn2Own 이벤트는 YouTube에서 생중계되었습니다.
Apple 제품은 Pwn2Own 2021에서 크게 타겟팅되지 않았지만 첫날 RET2 Systems의 Jack Dates는 Safari에서 커널 제로 데이 익스플로잇을 실행하여 10만 달러를 벌었습니다. 그는 아래 트윗에서 시연된 것처럼 Safari에서 정수 오버플로를 사용하고 OOB 쓰기를 사용하여 커널 수준 코드 실행을 얻었습니다.
축하합니다 잭! 원클릭 Apple Safari를 Kernel Zero-day에 랜딩 # Pwn2Own 2021년 RET2를 대신하여: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 시스템(@ret2systems) 2021년 4월 6일
Pwn2Own 이벤트 중 다른 해킹 시도는 Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome 및 Microsoft Edge를 대상으로 했습니다.
예를 들어 네덜란드 연구원 Daan Keuper와 Thijs Alkemade는 심각한 Zoom 결함을 시연했습니다. 이 듀오는 사용자 상호 작용 없이 Zoom 앱을 사용하여 대상 PC를 완전히 제어하기 위해 세 가지 결함을 악용했습니다.
자세한 내용은 아직 확인 중입니다. #줌 Daan 및 Thijs와 함께 악용하지만 여기에 버그가 작동하는 더 나은 gif가 있습니다. # Pwn2Own #팝캘크 pic.twitter.com/ndTwik9aW — 제로 데이 이니셔티브(@thezdi) 2021년 4월 7일
Pwn2Own 참가자는 발견한 버그에 대해 120만 달러 이상의 보상을 받았습니다. Pwn2Own은 Apple과 같은 공급업체에 발견된 취약점에 대한 수정 사항을 생성할 수 있는 90일을 제공하므로 멀지 않은 장래에 업데이트에서 버그가 해결될 것으로 기대할 수 있습니다.
인기 게시물