Hackers ganham $1,132,500 por 29 zero-days no Pwn2Own Vancouver
22 de Março de 2024

O Pwn2Own Vancouver 2024 terminou com pesquisadores de segurança arrecadando $1,132,500 depois de demonstrar 29 vulnerabilidades zero-day (e algumas colisões de bugs).

Ao longo do evento, eles visaram software e produtos nas categorias de navegador web, nuvem nativa/contêiner, virtualização, aplicações empresariais, servidor, escalada local de privilégio (EoP), comunicações empresariais e automotivas, todos atualizados e em sua configuração padrão.

O prêmio total era de mais de $1,300,000 em prêmios em dinheiro e um Tesla Model 3, que a equipe Synacktiv ganhou no primeiro dia.

Os competidores conseguiram executar códigos e escalaram privilégios em sistemas totalmente atualizados depois de invadir o Windows 11, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, três navegadores web (Apple Safari, Google Chrome e Microsoft Edge) e o Tesla Model 3.

Os vendedores têm 90 dias para liberar correções de segurança para vulnerabilidades zero-day relatadas durante os concursos de Pwn2Own antes de a Iniciativa zero-day da TrendMicro torná-las públicas.

Manfred Paul ganhou a edição deste ano do Pwn2Own Vancouver com 25 pontos Master of Pwn e $202,500 ganhos ao longo da competição de dois dias após invadir os navegadores web Apple Safari, Google Chrome e Microsoft Edge.

No primeiro dia de Pwn2Own, ele conseguiu execução remota de código (RCE) no Safari por meio de um bug de underflow inteiro e um zero-day de bypass PAC.

Então, ele usou um exploit de RCE de double-tap visando uma falha de Validade Incorreta de Quantidade Especificada na entrada para derrubar o Chrome e o Edge.

Synacktiv também fez parte do vídeo destaque do dia 1 do Pwn2Own Vancouver 2024 depois de ganhar um carro Tesla Model 3 e $200,000 após invadir a ECU Tesla com Controle de BUS CAN do Veículo (VEH) em menos de 30 segundos usando um exploit de overflow inteiro.

No segundo dia, Manfred Paul também explorou uma vulnerabilidade zero-day de gravação fora dos limites (OOB) para ganhar RCE e escapou do sandbox do Mozilla Firefox usando uma fraqueza de função perigosa exposta.

Outras tentativas bem-sucedidas (e colisões de bugs) no último dia incluíram:

- Exploits de escalada de privilégio Windows 11 da HackInside, Valentina Palmiotti da IBM X-Force, Marcin Wiązowski e Gabriel Kirkpatrick,
- Exploits de RCE da VMware Workstation da STAR Labs SG e exploits de escalada de privilégios do Ubuntu Linux, e um escape do Docker,
- A equipe da Palo Alto invadindo o Chrome e o Edge depois de derrotar o endurecimento V8,
- Exploit de escape de hóspede para host do Oracle VirtualBox do ColdEye,
- Duplo RCE exploit em Chrome e Edge de Seunghyun Lee do KAIST Hacking Lab,
- Theori com uma escalada de privilégios no Ubuntu Linux.

O ZDI concedeu $3,494,750 durante os últimos três concursos de hacking Pwn2Ownco (Toronto, Tokyo Automotive e Vancouver).

Além disso, no Pwn2Own Vancouver 2023, os hackers arrecadaram mais $1,035,000 em prêmios e um carro Tesla (vencido por Synaktiv) por 27 zero-days no Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox e no Modelo 3 da Tesla.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...