Durante o segundo dia do Pwn2Own Vancouver 2023, os competidores receberam US$ 475.000 depois de explorar com sucesso 10 dias de zero em vários produtos.
Os alvos hackeados incluíam o Tesla Model 3, a plataforma de comunicações Teams da Microsoft, a plataforma virtual Oracle VirtualBox e o sistema operacional Ubuntu Desktop.
O destaque do segundo dia foi uma tentativa bem-sucedida de David Berard da Synacktiv (@_p0ly_) e Vincent Dehors (@funcionário) contra Tesla – a raiz do infoentretenimento desinibido.
Isso rendeu a eles $ 250.000 e permitiu que eles obtivessem um Tesla Model 3 depois de invadir a pilha de estouro e escrever uma string de exploração OOB.
Thomas Imbert de Synacktiv (@funcionário) e Thomas Boozer (@funcionário) também explorou com sucesso uma série de três erros de escalonamento de privilégios em um host Oracle VirtualBox para ganhar US$ 80.000.
Em uma terceira tentativa de Synacktiv, Tanguy Dubroca (@funcionário) recebeu $ 30.000 pela demonstração de um benchmark incorreto de dia zero, resultando em escalonamento de privilégios no desktop Ubuntu.
Equipe Vettel (@funcionário) também invadiu o Microsoft Teams por meio de um bug da Série 2 para ganhar $ 78.000 e o VirtualBox da Oracle com um bug use-after-free (UAF) e uma variável não inicializada por $ 40.000.
No dia 1, os competidores do Pwn2Own receberam US$ 375.000 e um carro Tesla Model 3 depois de lançar com sucesso 12 Zero Days no Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox e macOS.
No último dia da competição, os pesquisadores de segurança tentarão explorações de dia zero no Ubuntu Desktop, Microsoft Teams, Windows 11 e VMware Workstation.
Pwn2Own Vancouver 2023 Os participantes podem ganhar $ 1.080.000 em dinheiro e dois carros Tesla Model 3 entre 22 e 24 de março.
Pesquisadores Os produtos serão direcionados de várias categorias durante a competição, incluindo Enterprise Applications, Enterprise Communications, Servers, Virtualization, Automotive e Local Privilege (EoP) Escalation.
“O evento deste ano promete algumas pesquisas empolgantes, pois temos 19 inscrições visando nove alvos diferentes – incluindo duas tentativas de Tesla”, disse ZDI.
“Para o evento deste ano, cada rodada pagará o preço total, o que significa que, se todas as explorações forem bem-sucedidas, daremos mais de US$ 1.000.000.”
Os fornecedores devem corrigir as vulnerabilidades de dia zero testadas e divulgá-las por meio do Pwn2Own em até 90 dias antes que a Zero Day Initiative da Trend Micro divulgue os detalhes técnicos publicamente.
No Pwn2Own Vancouver 2022, os pesquisadores de segurança ganharam US$ 1.155.000 depois que um Tesla Model 3 Infotainment System foi hackeado, travando o Windows 11 seis vezes, mostrando três dias zero do Microsoft Teams e explorando o Ubuntu Desktop quatro vezes.
“Empreendedor autônomo. Comunicador. Jogador. Explorador. Praticante de cultura pop.”
More Stories
Os telefones Samsung superam os iPhones globalmente no momento
CEO diz que sistema Transmog ‘simplesmente não faz sentido’ em Helldivers 2
Spotify planeja lançar assinatura sem perdas do Music Pro