No primeiro dia do Pwn2Own Vancouver 2023, pesquisadores de segurança demonstraram com sucesso exploits e cadeias de exploração zero-day para o Tesla Model 3, Windows 11 e macOS, ganhando $375.000 e um Tesla Model 3.
O primeiro a cair foi o Adobe Reader, na categoria de aplicativos empresariais, depois que Abdul Aziz Hariri (abdhariri) da Haboob SA usou uma cadeia de exploração visando uma sequência lógica de 6 bugs abusando de várias correções falhas, que escaparam da sandbox e contornaram uma lista de API proibida no macOS, ganhando $50.000.
A equipe STAR Labs (@starlabs_sg) demonstrou uma cadeia de exploração zero-day visando a plataforma de colaboração em equipe do SharePoint da Microsoft, ganhando uma recompensa de $100.000, e conseguiu hackear o Ubuntu Desktop com uma exploração anteriormente conhecida por $15.000.
A Synacktiv (@Synacktiv) levou para casa $100.000 e um Tesla Model 3 depois de executar com sucesso um ataque TOCTOU (time-of-check to time-of-use) contra o Tesla - Gateway na categoria Automotiva.
Eles também usaram uma vulnerabilidade zero-day TOCTOU para elevar privilégios no macOS da Apple e ganharam $40.000.
O Oracle VirtualBox foi hackeado usando uma leitura OOB e uma cadeia de exploração de estouro de buffer baseada em pilha (no valor de $40.000) por Bien Pham (@bienpnn) da Qrious Security.
Por fim, Marcin Wiązowski elevou privilégios no Windows 11 usando uma validação de entrada imprópria zero-day, que veio com um prêmio de $30.000.
Ao longo do concurso Pwn2Own Vancouver 2023, pesquisadores de segurança visarão produtos nas categorias de aplicativos empresariais, comunicações empresariais, escalonamento local de privilégios (EoP), servidor, virtualização e automotiva.
No segundo dia, os competidores do Pwn2Own demonstrarão exploits zero-day visando o Microsoft Teams, Oracle VirtualBox, o Tesla Model 3 Infotainment Unconfined Root e o Ubuntu Desktop.
No último dia do concurso, pesquisadores de segurança definirão seus alvos novamente no Ubuntu Desktop e tentarão hackear o Microsoft Teams, o Windows 11 e o VMware Workstation.
Entre 22 e 24 de março, os participantes podem ganhar $1.080.000 em dinheiro e prêmios, incluindo um carro Tesla Model 3.
O prêmio máximo para hackear um Tesla agora é de $150.000, além do carro em si.
Após a demonstração e divulgação de vulnerabilidades zero-day durante o Pwn2Own, os fornecedores têm 90 dias para criar e lançar correções de segurança para todas as falhas relatadas antes que a Zero Day Initiative da Trend Micro as divulgue publicamente.
Durante o concurso Pwn2Own Vancouver do ano passado, pesquisadores de segurança ganharam $1.155.000 depois de hackear o Windows 11 seis vezes, o Ubuntu Desktop quatro vezes e demonstrar com sucesso três zero-days do Microsoft Teams.
Eles também relataram vários zero-days no Apple Safari, Oracle Virtualbox e Mozilla Firefox e hackearam o sistema de informações e entretenimento do Tesla Model 3.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...