Pwn2Own Vancouver 2024 s-a încheiat cu cercetătorii în securitate colectând 1.132.500 dolari după demonstrarea a 29 zero-days (și câteva coliziuni de bug-uri).
Pe durata evenimentului, aceștia au vizat software-uri și produse din categoriile browser web, cloud-native/container, virtualizare, aplicații enterprise, server, escaladare locală a privilegiilor (EoP), comunicații enterprise și automotive, toate fiind actualizate și în configurația lor implicită.
Fondul total de premii a fost de peste 1.300.000 dolari în premii în bani și un Tesla Model 3, pe care echipa Synacktiv l-a câștigat în prima zi.
Competitorii au obținut cu succes execuție de cod și privilegii escalate pe sisteme complet actualizate după ce au spart Windows 11, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, trei browsere web (Apple Safari, Google Chrome și Microsoft Edge) și Tesla Model 3.
Producătorii au 90 de zile la dispoziție pentru a lansa remedieri de securitate pentru vulnerabilitățile zero-day raportate în timpul concursurilor Pwn2Own înainte ca Zero Day Initiative a TrendMicro să le facă publice.
Manfred Paul a câștigat ediția din acest an a Pwn2Own Vancouver cu 25 de puncte Master of Pwn și 202.500 dolari câștigați pe parcursul competiției de două zile după ce a spart browserele web Apple Safari, Google Chrome și Microsoft Edge.
În prima zi a Pwn2Own, el a obținut execuție de cod la distanță (RCE) în Safari printr-o combinație de bug-uri de subflux al întregului și bypass PAC zero-day. Apoi a folosit un exploit RCE double-tap pentru a sparge Chrome și Edge, vizând o slăbiciune de Validare Improprie a Cantității Specificate în Intrare.
Synacktiv a făcut, de asemenea, parte din momentele deosebite ale zilei 1 a Pwn2Own Vancouver 2024 după ce a câștigat un automobil Tesla Model 3 și 200.000 dolari după ce a spart ECU-ul Tesla cu Controlul CAN BUS al Vehiculului (VEH) în mai puțin de 30 de secunde folosind un exploit de suprapunere a întregului.
În a doua zi, Manfred Paul a exploatat, de asemenea, o vulnerabilitate zero-day de scriere în afara limitelor pentru a obține RCE și a evadat din sandbox-ul Mozilla Firefox folosind o slăbiciune expusă a unei funcții periculoase.
Alte încercări de succes (și coliziuni de bug-uri) în ultima zi includ:
Zero Day Initiative a acordat 3.494.750 dolari în timpul ultimelor trei concursuri de hacking Pwn2Ownco (Toronto, Tokyo Automotive și Vancouver).
De asemenea, la Pwn2Own Vancouver 2023, hackerii au colectat încă 1.035.000 dolari în premii și un automobil Tesla (câștigat de Synaktiv) pentru 27 zero-days în Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox și Tesla Model 3.
Windows 11, Tesla și Ubuntu Linux sparte la Pwn2Own Vancouver
Tesla spart din nou, încă 24 de zero-days exploatate la Pwn2Own Tokyo
Tesla spart, 24 zero-days demonstrate la Pwn2Own Automotive 2024
Pwn2Own Automotive: 1.3 milioane dolari pentru 49 zero-days, Tesla spart de două ori
Exploit lansat pentru bug-ul Fortinet RCE folosit în atacuri, acum remediat
Leave a Reply