Pwn2Own 2023: Windows 11, Tesla, Ubuntu και macOS χακαρίστηκαν

Κατά την εναρκτήρια ημέρα του Pwn2Own Vancouver 2023, οι ειδικοί ασφαλείας αποκάλυψαν εντυπωσιακά exploits zero-day και αλυσίδες exploits σε ένα Tesla Model 3, στα Windows 11 και στο macOS, κερδίζοντας το εντυπωσιακό ποσό των 375.000 δολαρίων και ένα Tesla Model 3.

Δείτε επίσης: Pwn2Own: Οι χάκερ κέρδισαν σχεδόν 1 εκατ. δολάρια

Το πρώτο θύμα στην κατηγορία των επιχειρηματικών εφαρμογών ήταν το Adobe Reader μετά από επίθεση του Abdul Aziz Hariri (@abdhariri) της Haboob SA, η οποία περιλάμβανε μια λογική αλυσίδα 6 σφαλμάτων. Αυτό το exploit έκανε κατάχρηση πολλαπλών μη επιδιορθωμένων ευπαθειών, παρέκαμψε τα μέτρα ασφαλείας sandboxing και πέρασε τις απαγορεύσεις API στο macOS κερδίζοντας στον Hariri 50.000 δολάρια ως αμοιβή.

Η STAR Labs (@starlabs_sg) παρουσίασε μια αλυσίδα εκμετάλλευσης zero-day που στοχεύει την πλατφόρμα ομαδικής συνεργασίας SharePoint της Microsoft, η οποία τους απέφερε μια εντυπωσιακή ανταμοιβή 100.000 δολαρίων. Επιπλέον, κατάφεραν να παραβιάσουν το Ubuntu Desktop με ένα ήδη γνωστό exploit για το αξιοσημείωτο ποσό των 15.000 δολαρίων.

Η Synacktiv (@Synacktiv) κέρδισε ένα τεράστιο βραβείο 100.000 δολαρίων και ένα ολοκαίνουργιο Tesla Model 3 μετά την έναρξη μιας αποτελεσματικής επίθεσης TOCTOU (time-of-check to time-of-use) κατά του Tesla – Gateway στην κατηγορία Automotive. Εκμεταλλευόμενοι μια ευπάθεια zero-day time-of-check to time-of-use (TOCTOU), απέκτησαν υψηλότερα προνόμια πρόσβασης στο λειτουργικό σύστημα macOS και κέρδισαν 40.000 δολάρια.

Ο Bien Pham (@bienpnn) της Qrious Security παραβίασε με επιτυχία το Oracle VirtualBox μέσω μιας OOB Read και μιας αλυσίδας εκμετάλλευσης buffer overflow με βάση το stacked-based, για την οποία του απονεμήθηκαν 40.000 δολάρια.

Τέλος, ο Marcin Wiązowski εκμεταλλεύτηκε με επιτυχία ένα zero-day των Windows 11 που σχετίζεται με ακατάλληλη επικύρωση εισόδου και για την οποία του απονεμήθηκαν 30.000 δολάρια.

Δείτε ακόμα: Windows 11: Ψεύτικη προειδοποίηση τρομάζει τους χρήστες

Στο διαγωνισμό Pwn2Own Vancouver 2023, οι ειδικοί ασφαλείας θα προσπαθήσουν να παραβιάσουν προϊόντα σε μια σειρά από κατηγορίες, όπως επιχειρηματικές εφαρμογές, επικοινωνίες, τοπική κλιμάκωση EoP, τεχνολογίες διακομιστών και εικονικοποίησης, καθώς και αυτοκίνητα.

Κατά τη δεύτερη ημέρα του Pwn2Own, οι ανταγωνιστές θα παρουσιάσουν μια εντυπωσιακή επίδειξη exploits zero-day στις Microsoft Teams, Oracle VirtualBox, Tesla Model 3’s Infotainment Unconfined Root και Ubuntu Desktop.

Την τελευταία ημέρα του διαγωνισμού, οι επαγγελματίες ασφαλείας θα προσπαθήσουν να παραβιάσουν τα Microsoft Teams, Windows 11 και VMware Workstation χρησιμοποιώντας το Ubuntu Desktop.

Από τις 22 έως τις 24 Μαρτίου, οι διαγωνιζόμενοι έχουν την ευκαιρία να κερδίσουν πάνω από 1 εκατομμύριο δολάρια σε μετρητά και δώρα, συμπεριλαμβανομένου του πολυπόθητου αυτοκινήτου Tesla Model 3! Για όσους καταφέρουν να χακάρουν με επιτυχία ένα Tesla, το μεγάλο βραβείο είναι πλέον το εντυπωσιακό ποσό των 150.000 δολαρίων και φυσικά το ίδιο το αυτοκίνητο!

Μετά την επίδειξη και την αποκάλυψη των ευπαθειών zero-day κατά τη διάρκεια του Pwn2Own, οι προμηθευτές έχουν περιθώριο 90 ημερών για να αρχίσουν να παράγουν διορθωτικά στοιχεία ασφαλείας για όλες τις αναφερθείσες αδυναμίες πριν η Trend Micro αποφασίσει να τα δημοσιοποιήσει.

Στον περσινό διαγωνισμό Pwn2Own του Βανκούβερ, οι ειδικοί ασφαλείας έφυγαν με το τεράστιο ποσό των 1.155.000 δολαρίων αφού κατάφεραν να παραβιάσουν έξι φορές τα Windows 11 και τέσσερις φορές το Ubuntu Desktop – για να μην αναφέρουμε τα τρία zero-day της Microsoft Teams που αποκάλυψαν.

Ανακάλυψαν επίσης πολλαπλές ευπάθειες zero-day στον Apple Safari, το Oracle Virtualbox και τον Mozilla Firefox. Επιπλέον, οι ειδικοί ασφαλείας κατάφεραν να παραβιάσουν το σύστημα Infotainment System του Tesla Model 3.

Δείτε επίσης: Tesla: Επεκτείνει τις εικονικές πωλήσεις με απομακρυσμένα test drives

Οι διοργανώσεις Pwn2Own έχουν δώσει μερικά πραγματικά εντυπωσιακά και εκπληκτικά βραβεία στο παρελθόν, και το Pwn2Own 2023 υπόσχεται να μην είναι διαφορετικό. Το Pwn2Own 2023 θα προσφέρει αναμφίβολα στους διαγωνιζόμενους ευκαιρίες για έρευνα ασφάλειας, δοκιμές και επίδειξη των ικανοτήτων τους. Επιπλέον, η εκδήλωση επιτρέπει στους παρόχους προγραμμάτων περιήγησης, εικονικοποίησης, ασύρματων συστημάτων, IoT και συστημάτων βιομηχανικού ελέγχου να βελτιώσουν την ασφάλεια των προϊόντων τους, εντοπίζοντας και αντιμετωπίζοντας απειλές πριν αυτές προκαλέσουν βλάβη στον πραγματικό κόσμο.