Durante o segundo dia do Pwn2Own Vancouver 2023, os competidores receberam $475.000 após explorarem com sucesso 10 zero-days em vários produtos.
A lista de alvos invadidos incluiu o Tesla Model 3, a plataforma de comunicação Teams da Microsoft, a plataforma de virtualização Oracle VirtualBox e o sistema operacional Ubuntu Desktop.
O destaque do segundo dia foi uma tentativa bem-sucedida de David Berard (_p0ly_) e Vincent Dehors (vdehors) da Synacktiv contra o Tesla - Infotainment Unconfined Root.
Isso lhes rendeu $250.000 e permitiu que levassem para casa um Tesla Model 3 depois de invadirem por meio de uma cadeia de exploração de heap overflow e OOB write.
Thomas Imbert (masthoon) e Thomas Bouzerar (MajorTomSec) da Synacktiv também exploraram com sucesso uma cadeia de três bugs para escalar privilégios em um host Oracle VirtualBox e ganharam $80.000.
Na terceira tentativa da Synacktiv, Tanguy Dubroca (SidewayRE) recebeu $30.000 por demonstrar um zero-day de escalonamento de privilégios de dimensionamento de ponteiro incorreto no Ubuntu Desktop.
A equipe Viettel (vcslab) também invadiu o Microsoft Teams via uma cadeia de 2 bugs e ganhou $78.000 e o VirtualBox da Oracle usando um bug Use-After-Free (UAF) e uma variável não inicializada por $40.000.
No primeiro dia, os competidores do Pwn2Own receberam $375.000 e um Tesla Model 3 depois de demonstrarem com sucesso 12 zero-days no Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox e macOS.
No último dia da competição, os pesquisadores de segurança tentarão explorar bugs zero-day no Ubuntu Desktop, Microsoft Teams, Windows 11 e VMware Workstation.
Os concorrentes do Pwn2Own Vancouver 2023 podem ganhar $1.080.000 em dinheiro e dois carros Tesla Model 3 entre 22 e 24 de março.
Os pesquisadores visarão produtos de várias categorias durante a competição, incluindo aplicativos empresariais, comunicações empresariais, servidores, virtualização, automotivo e escalonamento local de privilégios (EoP).
"O evento deste ano promete algumas pesquisas emocionantes, pois temos 19 inscrições visando nove alvos diferentes - incluindo duas tentativas no Tesla", disse a ZDI.
"Para o evento deste ano, cada rodada pagará o preço total, o que significa que, se todos os exploits tiverem sucesso, concederemos mais de $1.000.000 USD."
Os fornecedores precisam corrigir as vulnerabilidades zero-day demonstradas e divulgadas durante o Pwn2Own dentro de 90 dias antes que a Zero Day Initiative da Trend Micro publique publicamente os detalhes técnicos.
No Pwn2Own Vancouver 2022, os pesquisadores de segurança ganharam $1.155.000 depois de invadir o sistema de infotainment do Tesla Model 3, derrubar o Windows 11 seis vezes, demonstrar três zero-days do Microsoft Teams e explorar o Ubuntu Desktop quatro vezes.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...