Την πρώτη ημέρα του Pwn2Own Vancouver 2023, οι διαγωνιζόμενοι παραβίασαν με επιτυχία τα Tesla Model 3, Windows 11, Ubuntu Desktop και το macOS, χρησιμοποιώντας zero-day exploits.
Κέρδισαν συνολικά σαν έπαθλο $375.000 και ένα Tesla Model 3 (το ίδιο με αυτό που χάκαραν)!.
Κατά τη διάρκεια του διαγωνισμού Pwn2Own Vancouver 2023, οι διαγωνιζόμενοι στοχεύουν προϊόντα σε εταιρικές εφαρμογές, εταιρικές επικοινωνίες, local escalation of privilege (EoP), διακομιστές, virtualization και αυτοκίνητα.
Το πρώτο που έπεσε στην κατηγορία των εταιρικών εφαρμογών ήταν το Adobe Reader, αφού ο Abdul Aziz Hariri της Haboob SA (@abdhariri) χρησιμοποίησε ένα exploit chain (μια αλυσίδα εκμετάλλευσης) που καταχράται πολλαπλές αποτυχημένες ενημερώσεις κώδικα, και έτσι ξέφυγε από το sandbox και παρέκαμψε μια προστατευμένη λίστα API στο macOS. Έπαθλο $50.000.
Η ομάδα του STAR Labs (@starlabs_sg) παρουσίασε μια αλυσίδα εκμετάλλευσης zero-day που στοχεύει την πλατφόρμα συνεργασίας της ομάδας SharePoint της Microsoft.Έπαθλό $100.000. Επιπλέον χακάρισε επιτυχώς το Ubuntu Desktop με ένα παλαιότερα γνωστό exploit και κέρδισε επιπρόσθετα $15.000.
Η ομάδα Synacktiv (@Synacktiv) κέρδισε στην κατηγορία Αυτοκίνητο 100.000 $ και ένα Tesla Model 3 αφού εκτέλεσε επιτυχώς μια επίθεση TOCTOU (Time-of-check to time-of-use) ενάντια στο Tesla – Gateway. Χρησιμοποίησαν επίσης μια ευπάθεια TOCTOU zero-day για να αλλάξουν τα προνόμια στο Apple macOS και κέρδισαν επιπλέον $40.000.
Το Oracle VirtualBox παραβιάστηκε από τον Bien Pham της Qrious Security (@bienpnn) χρησιμοποιώντας ένα OOB Read και μια αλυσίδα εκμετάλλευσης του stacked-based buffer. Βγήκε με κέρδος $40.000.
Τελευταίο αλλά εξίσου σημαντικό, ο Marcin Wiązowski άλλαξε τα προνόμια στα Windows 11 χρησιμοποιώντας ένα zero-day και πήρε σαν έπαθλο $30.000.
Από τις 22 Μαρτίου έως τις 24 Μαρτίου, οι διαγωνιζόμενοι μπορούν να κερδίσουν 1.080.000 δολάρια σε μετρητά και βραβεία, συμπεριλαμβανομένου ενός αυτοκινήτου Tesla Model 3. Το κορυφαίο βραβείο για το χακάρισμα ενός Tesla είναι $150.000 και το ίδιο το αυτοκίνητο.
Μετά την επίδειξη και την αποκάλυψη των τρωτών σημείων zero-day κατά τη διάρκεια του Pwn2Own, οι προμηθευτές έχουν στη διάθεσή τους 90 ημέρες για να δημιουργήσουν και να εκδώσουν διορθώσεις ασφαλείας για όλες τις αναφερόμενες ατέλειες, προτού το Zero Day Initiative της Trend Micro τα αποκαλύψει δημόσια.
Για την ιστορία, κατά τη διάρκεια του περσινού διαγωνισμού Vancouver Pwn2Own, οι ερευνητές ασφαλείας κέρδισαν $1.155.000 αφού χάκαραν τα Windows 11 έξι φορές, το Ubuntu Desktop τέσσερις φορές και χτύπησαν με επιτυχία με τρία zero-day το Microsoft Teams.
Παρουσίασαν επίσης αρκετά zero-day στα Apple Safari, Oracle Virtualbox, Mozilla Firefox και χάκαραν το Σύστημα Πληροφορικής Ψυχαγωγίας του Tesla Model 3.
