Dezembro 23, 2024

Revista PORT.COM

Informações sobre Portugal. Selecione os assuntos que você deseja saber mais sobre no Revistaport

Microsoft Teams, Virtualbox e Tesla foram todos explorados no Pwn2Own

Microsoft Teams, Virtualbox e Tesla foram todos explorados no Pwn2Own

Durante o segundo dia do Pwn2Own Vancouver 2023, os competidores receberam US$ 475.000 depois de explorar com sucesso 10 dias de zero em vários produtos.

Os alvos hackeados incluíam o Tesla Model 3, a plataforma de comunicações Teams da Microsoft, a plataforma virtual Oracle VirtualBox e o sistema operacional Ubuntu Desktop.

O destaque do segundo dia foi uma tentativa bem-sucedida de David Berard da Synacktiv (@_p0ly_) e Vincent Dehors (@funcionário) contra Tesla – a raiz do infoentretenimento desinibido.

Isso rendeu a eles $ 250.000 e permitiu que eles obtivessem um Tesla Model 3 depois de invadir a pilha de estouro e escrever uma string de exploração OOB.

Thomas Imbert de Synacktiv (@funcionário) e Thomas Boozer (@funcionário) também explorou com sucesso uma série de três erros de escalonamento de privilégios em um host Oracle VirtualBox para ganhar US$ 80.000.

Em uma terceira tentativa de Synacktiv, Tanguy Dubroca (@funcionário) recebeu $ 30.000 pela demonstração de um benchmark incorreto de dia zero, resultando em escalonamento de privilégios no desktop Ubuntu.

Demonstração de infotainment Zero Day Tesla da Synacktiv (ZDI)

Equipe Vettel (@funcionário) também invadiu o Microsoft Teams por meio de um bug da Série 2 para ganhar $ 78.000 e o VirtualBox da Oracle com um bug use-after-free (UAF) e uma variável não inicializada por $ 40.000.

No dia 1, os competidores do Pwn2Own receberam US$ 375.000 e um carro Tesla Model 3 depois de lançar com sucesso 12 Zero Days no Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox e macOS.

No último dia da competição, os pesquisadores de segurança tentarão explorações de dia zero no Ubuntu Desktop, Microsoft Teams, Windows 11 e VMware Workstation.

Pwn2Own Vancouver 2023 Os participantes podem ganhar $ 1.080.000 em dinheiro e dois carros Tesla Model 3 entre 22 e 24 de março.

Pesquisadores Os produtos serão direcionados de várias categorias durante a competição, incluindo Enterprise Applications, Enterprise Communications, Servers, Virtualization, Automotive e Local Privilege (EoP) Escalation.

“O evento deste ano promete algumas pesquisas empolgantes, pois temos 19 inscrições visando nove alvos diferentes – incluindo duas tentativas de Tesla”, disse ZDI.

“Para o evento deste ano, cada rodada pagará o preço total, o que significa que, se todas as explorações forem bem-sucedidas, daremos mais de US$ 1.000.000.”

Os fornecedores devem corrigir as vulnerabilidades de dia zero testadas e divulgá-las por meio do Pwn2Own em até 90 dias antes que a Zero Day Initiative da Trend Micro divulgue os detalhes técnicos publicamente.

No Pwn2Own Vancouver 2022, os pesquisadores de segurança ganharam US$ 1.155.000 depois que um Tesla Model 3 Infotainment System foi hackeado, travando o Windows 11 seis vezes, mostrando três dias zero do Microsoft Teams e explorando o Ubuntu Desktop quatro vezes.