编译:代码卫士

ZDI 指出,2024年的 Pwn2Own 大赛将于2024年3月20日至22日在温哥华 CanSecWest 举行。本次大赛共分8个类别,并将简化“汽车”类别并新增“云原生/容器”类别。本次大赛的总奖金池超过100万美元,合作伙伴是特斯拉。

“汽车”类别将取消多层级目标,仅关注漏洞影响和在车辆目标组件中实现代码执行情况。对于某些目标而言,需要在多个系统中实现代码执行。赏金不累计,例如,出于需要在触及 Autopilot 的过程中利用车载娱乐系统,但仅可获得 Autopilot 的赏金。除此以外,本次大赛将在“企业通信”类别中新增目标 Slack。本次大赛的奖金池将超过100万美元现金和奖励。

本次大赛将分如下8个类别:

  • Web 浏览器

  • 云原生/容器

  • 虚拟化

  • 企业应用

  • 服务器

  • 本地提权

  • 企业通信

  • 汽车

Web 浏览器类别

虽然浏览器是“传统的”Pwn2Own 目标,但该类别中的目标一直在变化,以便确保这些目标是相关的。本次大赛重新引入仅渲染利用选项,其赏金仍然为6万美元。不过,如果参赛选手拥有 Windows 内核提权或沙箱逃逸漏洞,则可分别获得10万美元或15万美元。如利用同时适用于 Chrome 和 Edge浏览器,则可获得“双击”附加奖金2.5万美元。基于 Windows 的目标将在 VMware Workstation 虚拟机中运行。所有浏览器(除 Safari 外)可获得 VMware 逃逸扩展。如候选人在攻陷浏览器的同时通过逃逸 VMware Workstation 虚拟机在主机操作系统上执行代码,则可获得额外的8万美元和8个冠军积分点。Apple Safari 和 Mozilla firefox 仍要求完整的利用。

云原生/容器类别

这是本次大赛的新增类别,ZDI 希望参赛选手能够将平时的优秀研究成果带到大赛。当然,说到容器,必提 Docker Desktop,它是列表中的第一个目标。然而,Docker Desktop 并非唯一目标。Containerd 运行时是行业标准且一直流行。Firecracker 作为创建和管理安全、多租户容器和基于功能的服务的常见选择,也是列表中的第三个目标。

参赛选手要获得成功,则exploit必须从 guest 容器/microVM 中启动且在主机操作系统上执行任意代码。本类别中的最后一个目标是gRPC,即可在任何环境中运行的现代开源高性能远程程序调用 (RPC) 框架。参赛选手必须利用 gRPC 代码库中的漏洞来获得任意代码执行结果。

虚拟化类别

在每次比赛中,虚拟化类别都会贡献一些高光时刻。和往常一样,VMware 是本类别的主要目标,VMware ESXi 和 VMware Workstation 都是其中的目标,赏金分别是15万美元和8万美元。微软也再次成为本类别中的目标,如参赛选手能够成功实现 Hyper-V 客户端guest-to-host 提权,则可获得25万美元的赏金。Oracle VirtualBox 是最后一个目标,赏金为4万美元。

本类别还设立了附加奖励。如参赛选手能够逃逸 guest OS,且通过 Windows 内核漏洞(除 VMware ESXi 外)实现主机 OS 提权,则可获得额外5万美元的赏金和5个积分点。因此,Hyper-V 漏洞的最高赏金可达30万美元。

企业应用类别

企业应用类别再次回归,Adobe Reader 和多个 Office 组件再次成为目标。今年,ZDI 允许这些应用在 M系列的 MacBook 上运行。如参赛选手能够开发出实现沙箱逃逸或内核提权的 Reader 和 Office 365 应用的 exploit, 则分别可获得5万和10万美元的赏金。Word、Excel 和 PowerPoint 都是合法目标。如适用,则基于微软 Office 的目标将启用 Protected View 特性。Adobe Reader 将启用 Protected Mode 特性。

服务器类别

2024年的服务器类别稍有减少,本次大赛主要关注服务器组件。这些服务器经常受到勒索团伙、国家黑客组织等的青睐,因此这些组织手中存在 exploit。唯一的问题是,我们能否在 Pwn2Own大赛上看到上述对手的exploit?SharePoint 最近遭在野利用,其中部分利用链已在去年的大赛上得到演示。微软 Exchange 一段时间以来都是一个热门目标,本次大赛它也是目标之一,赏金为20万美元。本类别的最后一个目标是 Windows RDP/RDS,所设赏金额也是20万美元。

提权类别

本类别是 Pwn2Own 大赛的经典类别,主要关注标准用户提权至高权限用户并执行代码的攻击。参赛选手必须利用内核漏洞实现提权。Ubuntu Desktop、Apple macOS 和微软 Windows 11 系统是本类别中的目标。

企业通信类别

ZDI 在2021年引入该类别,用于反映这些工具在现代、远程员工中的重要性,且在2021年大赛中均被攻陷。2024年,ZDI 扩展了该类别,将一直热门的 Slack 生产力平台囊括在内,赏金为2.5万美元。参赛选手必须通过与目标应用的通信实施攻陷。一些通信请求包括音频通话、视频会议或信息。Zoom 和微软 Teams 都设立了6万美元的赏金,希望能在本类别中看到更优秀的研究成果。

汽车类别

自2019年新增汽车类别后,出现了一些很出色且具有创造性的研究成果。温哥华是本类别的诞生之地,特斯拉再次回归。如之前所述,本次大赛调整了一些规则,但不意味着获得成功的难度降低。本次大赛将把 Tesla Model 3(基于 Ryzen)和 Tesla Model S(基于 Ryzen)列为目标,在必要情况下还将增加等效的台式单元。去年,所有的利用测试均在台式单元完成,因为在真实车辆上的利用将对旁观人员和其它车辆带来危险。

原文链接

https://www.zerodayinitiative.com/blog/2024/1/16/pwn2own-vancouver-2024-bring-cloud-nativecontainer-security-to-pwn2own

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。