Pwn2Own 2021’in ilk gününde yarışmacılar, Microsoft’un Windows 10 işletim sistemini, Exchange posta sunucusunu ve Teams iletişim platformunu hacklemek için önceden bilinmeyen güvenlik açıklarını başarıyla kullandıktan sonra 440.000 $ kazandı.
Devcore ekibi, bir kimlik doğrulama atlama ve yerel ayrıcalık yükseltme zincirini birbirine bağlayarak bir Exchange sunucusunda uzaktan kod yürütmeyi başardıktan sonra, Sunucu kategorisine ilk giren Microsoft Exchange oldu. Bu onlara 200.000 $ ve 20 Master of Pwn puanı kazandırdı.
Daha sonra, OV çevrimiçi adını kullanan bir güvenlik araştırmacısı, iki ayrı güvenlik hatasını birleştirerek Kurumsal İletişim kategorisindeki Microsoft Teams’de kod yürütmeyi başarıyla elde etti. Ayrıca 200.000 $ ve 20 Master of Pwn puanı kazandı.
Team Viettel, Yerel Ayrıcalık Arttırma kategorisinde rekabet ederken Windows 10’da normal bir kullanıcının ayrıcalıklarını SYSTEM’e yükselttikten sonra 40.000 $ ve 4 Master of Pwn puanı kazandı.
Confirmed! The Devcore team used an authentication bypass and a privilege escalation to take over the #Exchange server. They win the full $200,000 and 20 Master of Pwn points. pic.twitter.com/8JC20w768f
— Zero Day Initiative (@thezdi) April 6, 2021
İlk gün, RET2 Systems’ın Jack Dates’i, bir Apple Safari tamsayı taşması ve Sınır Dışı Yazma hataları kullanarak macOS’ta çekirdek düzeyinde kod yürütmeyi başarılı bir şekilde elde ettikten sonra 100.000 $ kazandı.
Flatt Security’den Ryota Shiga, Ubuntu Masaüstü makinesinde kök kazanmaya izin veren bir OOB erişim hatası için 30.000 $ kazandı. STAR Labs ekibi, Sanallaştırma kategorisinde Oracle VirtualBox ve Parallels Desktop’tan yararlanmaya çalışırken, istismarlarının ayrılan sürede çalışmasını sağlayamadı.
İkinci gün, Pwn2Own rakipleri ayrıca Google Chrome, Microsoft Edge (Chromium), Zoom Messenger’ı hedef alırken, diğerleri Microsoft Exchange, Windows 10, Ubuntu Desktop ve Parallels Desktop’taki diğer yeni hatalardan yararlanmaya çalışacak.
