Леди и джентльмены. Вот и закончился хакерский съезд в Торонто. И перед началом я бы хотел извиниться за отсутствие. Ну а теперь готовим кофе и вкусняшку и задумываемся по поводу защиты наших аппаратов которыми мы пользуемся ежедневно.
В Торонто завершилось ежегодное хакерское состязание Pwn2Own Toronto 2022. Участники из 26 команд сумели суммарно заработать почти миллион долларов и продемонстрировали эксплоиты для смартфонов, принтеров, маршрутизаторов, устройств NAS и умных колонок. Один только Samsung Galaxy S22 был взломан разными командами четыре раза.
Как я уже рассказывал ранее, на этот раз Pwn2Own был продлен до четырех дней (вместо двух обычных), так как в состязании приняли участие сразу 26 команд, которые атаковали 66 целей во всех заявленных категориях. Напомню, что в соревнованиях, организованных Trend Micro Zero Day Initiative (ZDI), исследователи могли показать себя в атаках на мобильные телефоны, принтеры, беспроводные маршрутизаторы, сетевые хранилища, умные колонки, хабы «умных домов» и другие устройства, которые обновлены до последних версий и работают с настройками по умолчанию.
Наиболее ценные призы можно было заработать в категории смартфонов: до 200 000 долларов за взлом смартфонов Google Pixel 6 и Apple iPhone 13. К тому же, за взлом устройств Google и Apple можно было получить бонусы в размере 50 000 долларов США, если эксплоиты выполнены с привилегиями на уровне ядра. Однако в этом году ни один из участников не зарегистрировался на взлом гаджетов Google и Apple.
Зато флагманский Samsung Galaxy S22 был взломан на Pwn2Own четырежды. Так, в ходе первого дня соревнований эксперты из команды STAR Labs первыми продемонстрировали эксплуатацию уязвимости нулевого дня на флагманском устройстве Samsung. С третьей попытки они осуществили атаку, связанную с некорректной валидацией вводимых данных, и этот взлом принес команде 50 000 долларов и 5 очков Master of Pwn. Остальные команды за взлом Samsung Galaxy S22 получили по 25 000 долларов.
А вот парочка советов как обезопасить свое устройство от уязвимостей нулевого дня:
1. Своевременное обновление программ и операционных систем.
2. Использование только необходимых программ.
3. Использование сетевого экрана.
4. Использование комплексного антивирусного программного решения.
Заключительные дни соревнования выдались не менее активными. Так, на третий день мероприятия участники заработали 253 500 долларов на взломе NAS, принтеров, умных колонок, роутеров и смартфонов.
Участники вновь показали свои атаки в категории SOHO Smashup и получили за них крупные призы. В частности, команда NCC Group заработала 50 000 долларов за взлом маршрутизатора Ubiquiti и принтера Lexmark в ходе такой атаки. Успешная компрометация маршрутизатора Synology и принтера Canon принесла специалистами из STAR Labs еще 25 000 долларов, а Team Viettel забрала награду в размере 37 500 долларов за взлом маршрутизатора Cisco и принтера Canon.
Также в ходе третьего дня участники заработали 20 000 долларов за эксплуатацию багов в уже взломанных ранее умных колонках Sonos One и устройствах WD NAS.
На последний день Pwn2Own было запланировано сразу одиннадцать атак, и все они оказались нацелены на принтеры и маршрутизаторы. Большинство взломов этого дня даже оказались успешными, однако эксплоиты начали повторяться, а за уже использованные во время соревнования баги специалисты получали лишь по 5000 долларов и одному баллу Master of Pwn.
В итоге победителем Pwn2Own в этом году стала команда Devcore, которая в прошлые годы уже не раз принимала участие в соревнованиях. К примеру, только в первый день эксперты получили 100 000 долларов за взлом маршрутизатора MikroTik и подключенного к нему принтера Canon. Суммарно Devcore завершила состязание, заработав 142 500 долларов и 18,5 баллов Master of Pwn.
Второе и третье места заняли Team Viettel с 82 500 долларов и 16,5 очками и специалисты NCC Group EDG с 78 750 долларами и 15,5 очками.
В итоге в этом году участники мероприятия забрали домой 989 750 долларов и использовали 63 эксплоита, в том числе для устройств Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik и HP.
Представители ZDI напоминают, что на исправление уязвимостей нулевого дня, использованных во время Pwn2Own, производителям дается 120 дней, а затем информация о проблемах будет обнародована открыто. А использованные участниками 0-day, по традиции, были уничтожены после окончания соревнований старым и надежным способом.
Не забывайте постоянно обновлять свои антивирусники, и проверяйте подозрительные ссылки на наличие угроз. Ну что ж. Позвольте откланяться.