Durante o segundo dia do Pwn2Own Vancouver 2023, os competidores receberam US$ 475.000 depois de explorar com sucesso 10 dias de zero em vários produtos.
Os alvos hackeados incluíam o Tesla Model 3, a plataforma de comunicações Teams da Microsoft, a plataforma virtual Oracle VirtualBox e o sistema operacional Ubuntu Desktop.
O destaque do segundo dia foi uma tentativa bem-sucedida de David Berard da Synacktiv (@_p0ly_) e Vincent Dehors (@funcionário) contra Tesla – a raiz do infoentretenimento desinibido.
Isso rendeu a eles $ 250.000 e permitiu que eles obtivessem um Tesla Model 3 depois de invadir a pilha de estouro e escrever uma string de exploração OOB.
Thomas Imbert de Synacktiv (@funcionário) e Thomas Boozer (@funcionário) também explorou com sucesso uma série de três erros de escalonamento de privilégios em um host Oracle VirtualBox para ganhar US$ 80.000.
Em uma terceira tentativa de Synacktiv, Tanguy Dubroca (@funcionário) recebeu $ 30.000 pela demonstração de um benchmark incorreto de dia zero, resultando em escalonamento de privilégios no desktop Ubuntu.
Equipe Vettel (@funcionário) também invadiu o Microsoft Teams por meio de um bug da Série 2 para ganhar $ 78.000 e o VirtualBox da Oracle com um bug use-after-free (UAF) e uma variável não inicializada por $ 40.000.
No dia 1, os competidores do Pwn2Own receberam US$ 375.000 e um carro Tesla Model 3 depois de lançar com sucesso 12 Zero Days no Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox e macOS.
No último dia da competição, os pesquisadores de segurança tentarão explorações de dia zero no Ubuntu Desktop, Microsoft Teams, Windows 11 e VMware Workstation.
Pwn2Own Vancouver 2023 Os participantes podem ganhar $ 1.080.000 em dinheiro e dois carros Tesla Model 3 entre 22 e 24 de março.
Pesquisadores Os produtos serão direcionados de várias categorias durante a competição, incluindo Enterprise Applications, Enterprise Communications, Servers, Virtualization, Automotive e Local Privilege (EoP) Escalation.
“O evento deste ano promete algumas pesquisas empolgantes, pois temos 19 inscrições visando nove alvos diferentes – incluindo duas tentativas de Tesla”, disse ZDI.
“Para o evento deste ano, cada rodada pagará o preço total, o que significa que, se todas as explorações forem bem-sucedidas, daremos mais de US$ 1.000.000.”
Os fornecedores devem corrigir as vulnerabilidades de dia zero testadas e divulgá-las por meio do Pwn2Own em até 90 dias antes que a Zero Day Initiative da Trend Micro divulgue os detalhes técnicos publicamente.
No Pwn2Own Vancouver 2022, os pesquisadores de segurança ganharam US$ 1.155.000 depois que um Tesla Model 3 Infotainment System foi hackeado, travando o Windows 11 seis vezes, mostrando três dias zero do Microsoft Teams e explorando o Ubuntu Desktop quatro vezes.
More Stories
Harry Potter: o nível de pomo dos campeões de quadribol foi significativamente reduzido no PS5 e PS4
Vazamentos sobre planos de anúncio do PS5 Pro e design de dispositivos
Lançamento físico da Castlevania Dominus Collection confirmado, pré-encomendas abertas no próximo mês