Windows 11, Tesla, Ubuntu e macOS hackeados na Pwn2Own 2023
23 de Março de 2023

No primeiro dia do Pwn2Own Vancouver 2023, pesquisadores de segurança demonstraram com sucesso exploits e cadeias de exploração zero-day para o Tesla Model 3, Windows 11 e macOS, ganhando $375.000 e um Tesla Model 3.

O primeiro a cair foi o Adobe Reader, na categoria de aplicativos empresariais, depois que Abdul Aziz Hariri (abdhariri) da Haboob SA usou uma cadeia de exploração visando uma sequência lógica de 6 bugs abusando de várias correções falhas, que escaparam da sandbox e contornaram uma lista de API proibida no macOS, ganhando $50.000.

A equipe STAR Labs (@starlabs_sg) demonstrou uma cadeia de exploração zero-day visando a plataforma de colaboração em equipe do SharePoint da Microsoft, ganhando uma recompensa de $100.000, e conseguiu hackear o Ubuntu Desktop com uma exploração anteriormente conhecida por $15.000.

A Synacktiv (@Synacktiv) levou para casa $100.000 e um Tesla Model 3 depois de executar com sucesso um ataque TOCTOU (time-of-check to time-of-use) contra o Tesla - Gateway na categoria Automotiva.

Eles também usaram uma vulnerabilidade zero-day TOCTOU para elevar privilégios no macOS da Apple e ganharam $40.000.

O Oracle VirtualBox foi hackeado usando uma leitura OOB e uma cadeia de exploração de estouro de buffer baseada em pilha (no valor de $40.000) por Bien Pham (@bienpnn) da Qrious Security.

Por fim, Marcin Wiązowski elevou privilégios no Windows 11 usando uma validação de entrada imprópria zero-day, que veio com um prêmio de $30.000.

Ao longo do concurso Pwn2Own Vancouver 2023, pesquisadores de segurança visarão produtos nas categorias de aplicativos empresariais, comunicações empresariais, escalonamento local de privilégios (EoP), servidor, virtualização e automotiva.

No segundo dia, os competidores do Pwn2Own demonstrarão exploits zero-day visando o Microsoft Teams, Oracle VirtualBox, o Tesla Model 3 Infotainment Unconfined Root e o Ubuntu Desktop.

No último dia do concurso, pesquisadores de segurança definirão seus alvos novamente no Ubuntu Desktop e tentarão hackear o Microsoft Teams, o Windows 11 e o VMware Workstation.

Entre 22 e 24 de março, os participantes podem ganhar $1.080.000 em dinheiro e prêmios, incluindo um carro Tesla Model 3.

O prêmio máximo para hackear um Tesla agora é de $150.000, além do carro em si.

Após a demonstração e divulgação de vulnerabilidades zero-day durante o Pwn2Own, os fornecedores têm 90 dias para criar e lançar correções de segurança para todas as falhas relatadas antes que a Zero Day Initiative da Trend Micro as divulgue publicamente.

Durante o concurso Pwn2Own Vancouver do ano passado, pesquisadores de segurança ganharam $1.155.000 depois de hackear o Windows 11 seis vezes, o Ubuntu Desktop quatro vezes e demonstrar com sucesso três zero-days do Microsoft Teams.

Eles também relataram vários zero-days no Apple Safari, Oracle Virtualbox e Mozilla Firefox e hackearam o sistema de informações e entretenimento do Tesla Model 3.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...