Ξεκίνησε το Pwn2Own 2023 με θύματα τα Windows 11, Tesla, Ubuntu και macOS

Κατά την πρώτη ημέρα του Pwn2Own Vancouver 2023, ερευνητές ασφαλείας παρουσίασαν με επιτυχία τα exploits και τις αλυσίδες exploits μηδενικής ημέρας (0-day) για τα Tesla Model 3, Windows 11 και macOS για να κερδίσουν 375.000 δολάρια και ένα Tesla Model 3.

Ο πρώτος που έπεσε ήταν το Adobe Reader στην κατηγορία των επιχειρηματικών εφαρμογών, αφού ο Abdul Aziz Hariri (@abdhariri) της Haboob SA χρησιμοποίησε μια αλυσίδα exploit που στόχευε σε μια λογική αλυσίδα 6 σφαλμάτων που έκανε κατάχρηση πολλαπλών αποτυχημένων επιδιορθώσεων, η οποία ξέφυγε από το sandbox και παρέκαμψε μια απαγορευμένη λίστα API στο macOS για να κερδίσει 50.000 δολάρια.

Η ομάδα STAR Labs (@starlabs_sg) παρουσίασε μια αλυσίδα εκμετάλλευσης μηδενικής ημέρας που στόχευε την πλατφόρμα ομαδικής συνεργασίας SharePoint της Microsoft και τους απέφερε αμοιβή 100.000 δολαρίων, ενώ παραβίασε επιτυχώς το Ubuntu Desktop με ένα ήδη γνωστό exploit για 15.000 δολάρια.

Η Synacktiv (@Synacktiv) πήρε 100.000 δολάρια και ένα Tesla Model 3 μετά την επιτυχή εκτέλεση μιας επίθεσης TOCTOU (time-of-check to time-of-use) εναντίον του Tesla - Gateway στην κατηγορία Automotive. Χρησιμοποίησαν επίσης μια ευπάθεια μηδενικής ημέρας TOCTOU για την κλιμάκωση προνομίων στο macOS της Apple και κέρδισαν 40.000 δολάρια.

Το Oracle VirtualBox παραβιάστηκε χρησιμοποιώντας μια OOB Read και μια αλυσίδα εκμετάλλευσης υπερχείλισης buffer overflow που βασίζεται σε στοίβες (αξίας 40.000 δολαρίων) από τον Bien Pham (@bienpnn) της Qrious Security.

Τέλος, ο Marcin Wiązowski αύξησε τα προνόμιά του στα Windows 11 χρησιμοποιώντας μια μη ορθή επικύρωση εισόδου zero-day που συνοδεύτηκε από έπαθλο 30.000 δολαρίων.

Καθ' όλη τη διάρκεια του διαγωνισμού Pwn2Own Vancouver 2023, οι ερευνητές ασφαλείας θα στοχεύουν σε προϊόντα των κατηγοριών εταιρικών εφαρμογών, εταιρικών επικοινωνιών, τοπικής κλιμάκωσης προνομίων (EoP), διακομιστών, εικονικοποίησης και αυτοκινήτων.

Τη δεύτερη ημέρα, οι διαγωνιζόμενοι του Pwn2Own θα παρουσιάσουν εκμεταλλεύσεις μηδενικής ημέρας που στοχεύουν στις Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root και Ubuntu Desktop.

Την τελευταία ημέρα του διαγωνισμού, οι ερευνητές ασφαλείας θα θέσουν ξανά ως στόχο το Ubuntu Desktop και θα επιχειρήσουν να παραβιάσουν τα Microsoft Teams, τα Windows 11 και το VMware Workstation.

Μεταξύ 22 και 24 Μαρτίου, οι διαγωνιζόμενοι μπορούν να κερδίσουν 1.080.000 δολάρια σε μετρητά και βραβεία, συμπεριλαμβανομένου ενός αυτοκινήτου Tesla Model 3. Το κορυφαίο βραβείο για το hacking ενός Tesla είναι τώρα 150.000 δολάρια, καθώς και το ίδιο το αυτοκίνητο.

Μετά την επίδειξη και την αποκάλυψη των ευπαθειών μηδενικής ημέρας κατά τη διάρκεια του Pwn2Own, οι προμηθευτές έχουν 90 ημέρες για να δημιουργήσουν και να κυκλοφορήσουν διορθώσεις ασφαλείας για όλες τις αναφερθείσες ατέλειες πριν η πρωτοβουλία Zero Day Initiative της Trend Micro τις δημοσιοποιήσει.

Κατά τη διάρκεια του περσινού διαγωνισμού Pwn2Own στο Βανκούβερ, οι ερευνητές ασφαλείας κέρδισαν 1.155.000 δολάρια αφού χάκαραν έξι φορές τα Windows 11, τέσσερις φορές το Ubuntu Desktop και επέδειξαν με επιτυχία τρία zero-day του Microsoft Teams.

Ανέφεραν επίσης πολλά zero-days στο Apple Safari, στο Oracle Virtualbox και στο Mozilla Firefox και χάκαραν το σύστημα Infotainment του Tesla Model 3.