O Pwn2Own Vancouver 2023 terminou com os participantes ganhando $1.035.000 e um carro Tesla Model 3 por explorarem 27 vulnerabilidades zero-day (e várias colisões de bugs) entre 22 e 24 de março.
Durante a competição de hacking, os pesquisadores de segurança visaram dispositivos nas categorias de aplicativos e comunicações empresariais, escalonamento local de privilégios (EoP), virtualização, servidores e automotivos, todos atualizados e em sua configuração padrão.
O prêmio total para o Pwn2Own Vancouver 2023 foi de mais de $1.000.000 em dinheiro e um Tesla Model 3, que foi ganho pela equipe Synacktiv.
Os hackers conseguiram escalonar privilégios e executar códigos em sistemas totalmente corrigidos depois de hackear o Windows 11, o Microsoft Teams, o Microsoft SharePoint, o macOS, o Ubuntu Desktop, o VMware Workstation, o Oracle VirtualBox e, é claro, o Tesla Model 3.
Depois que as vulnerabilidades zero-day são exploradas e relatadas durante o Pwn2Own, os vendedores têm 90 dias para lançar correções de segurança antes que a Zero Day Initiative da TrendMicro as divulgue publicamente.
A equipe Synacktiv venceu a competição com 53 pontos Master of Pwn e $530.000 ganhos no total ao longo dos três dias da competição.
No primeiro dia do Pwn2Own Vancouver, os hackers da Synacktiv receberam $100.000 e um Tesla Model 3 após executar um ataque TOCTOU (verificação de hora até o uso da hora) contra o Tesla - Gateway na categoria Automotiva.
Eles também exploraram um bug zero-day TOCTOU para escalar privilégios no Apple macOS e ganharam $40.000.
No segundo dia da competição, os membros da Synacktiv também foram destaque, com uma recompensa de $250.000 para David Berard (_p0ly_) e Vincent Dehors (@vdehors) após demonstrarem uma cadeia de exploração de bugs zero-day de transbordamento de heap e escrita fora dos limites contra o Tesla - Infotainment Unconfined Root.
Thomas Imbert (masthoon) e Thomas Bouzerar (MajorTomSec) da Synacktiv também demonstraram uma cadeia de três bugs para escalar privilégios em um host Oracle VirtualBox e ganharam $80.000, enquanto Tanguy Dubroca (SidewayRE) recebeu uma recompensa de $30.000 por um bug zero-day de dimensionamento de ponteiro incorreto levando a escalonamento de privilégios no Ubuntu Desktop.
No terceiro e último dia da competição, Thomas Imbert (masthoon) da Synacktiv derrubou um sistema Windows 11 totalmente corrigido e ganhou $30.000 por um bug zero-day de Use-After-Free (UAF).
A equipe STAR Labs também ganhou $195.000 por bugs zero-day no Microsoft SharePoint e no VMware Workstation e uma colisão no Ubuntu Desktop, enquanto a equipe Viettel recebeu $115.000 após hackear o Microsoft Teams e o Oracle VirtualBox.
Na competição de hacking Pwn2Own Vancouver do ano passado, em maio de 2022, os pesquisadores ganharam $1.155.000 e um carro após hackear o sistema de infotainment do Tesla Model 3 e derrubar o Windows 11, Ubuntu Desktop, Microsoft Teams e mais usando vários bugs zero-day e cadeias de exploração.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...