Pwn2Own 2033 diadakan di Vancouver
Baru-baru ini hasil dari tiga hari kompetisi Pwn2Diri 2023, yang diadakan setiap tahun sebagai bagian dari konferensi CanSecWest di Vancouver.
Dalam edisi baru ini teknik telah ditunjukkan untuk bekerja untuk mengeksploitasi kerentanan sebelumnya tidak dikenal untuk Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint, dan untuk kendaraan Tesla.
Sebanyak 27 serangan berhasil diperagakan yang mengeksploitasi kerentanan yang sebelumnya tidak diketahui.
Bagi mereka yang tidak terbiasa dengan Pwn2Own, Anda harus tahu bahwa ini adalah acara peretasan global yang diselenggarakan oleh Trend Micro Zero-Day Initiative (ZDI), yang telah berlangsung sejak 2005. Di dalamnya, beberapa tim peretasan terbaik bersaing dengan target teknologi. .defaults dan satu sama lain, menggunakan eksploitasi 'zero-day'.
Pemburu hadiah peretas elit dan peneliti keamanan ini memiliki batas waktu yang ketat untuk berhasil 'membobol' target yang dimaksud. Sukses dihargai baik dengan poin yang ditambahkan ke papan peringkat Masters of Pwn, dan pujian untuk Pwn2Own tidak boleh diremehkan karena sifat kompetitifnya kuat di sini, serta pembayaran yang mengesankan. Secara total, Pwn2Own Vancouver 2023 memiliki dana hadiah lebih dari $1 juta.
Yang pertama jatuh adalah Adobe Reader dalam kategori aplikasi bisnis setelah Abdul Aziz Hariri (@abdhariri) dari Haboob SA menggunakan rantai eksploitasi menargetkan rantai logika 6-bug yang menyalahgunakan beberapa tambalan gagal yang lolos dari Sandbox dan melewati daftar API terlarang di macOS untuk memenangkan $50.000.
Dalam kompetisi mendemonstrasikan lima upaya sukses untuk meledak kerentanan yang sebelumnya tidak diketahui di Dekstop Ubuntu, dibuat oleh tim peserta yang berbeda.
Masalah disebabkan oleh pembebasan memori ganda (bonus $30k), itu akses memori setelah gratis (bonus $30k), penanganan penunjuk yang salah (bonus $30k). Dalam dua demo, sudah diketahui, tetapi tidak diperbaiki, kerentanan digunakan (dua bonus 15 ribu dolar). Selain itu, upaya keenam untuk menyerang Ubuntu dilakukan, tetapi eksploit tidak berhasil.
Tentang komponen masalah belum dilaporkan, menurut ketentuan kompetisi, informasi terperinci tentang semua kerentanan zero day yang ditunjukkan akan dipublikasikan hanya setelah 90 hari, yang diberikan untuk persiapan pembaruan oleh pabrikan untuk menghilangkan kerentanan.
Tentang demo lainnya serangan yang berhasil berikut ini disebutkan:
- Tiga peretasan Oracle VirtualBox mengeksploitasi kerentanan yang disebabkan oleh Akses Memori Setelah Kerentanan Gratis, Buffer Overflow, dan Read Out of Buffer (dua bonus $40k dan bonus $80k untuk mengeksploitasi 3 kerentanan yang memungkinkan eksekusi kode di sisi host).
- Ketinggian macOS Apple ($ 40K Premium).
- Dua serangan pada Microsoft Windows 11 yang memungkinkan mereka meningkatkan hak istimewa mereka (bonus $30.000).
- Kerentanan disebabkan oleh akses memori pasca-bebas dan validasi input yang salah.
- Serang Microsoft Teams menggunakan rangkaian dua bug dalam eksploitasi ($75,000 premium).
- Serang Microsoft SharePoint (bonus $100,000).
- Menyerang workstation VMWare dengan mengakses memori bebas dan variabel yang tidak diinisialisasi (premium $80).
- Eksekusi kode saat merender konten di Adobe Reader. Rantai rumit berisi 6 kesalahan digunakan untuk menyerang, melewati kotak pasir, dan mengakses API terlarang (hadiah $50,000).
Dua serangan pada sistem infotainment mobil Tesla dan Tesla Gateway, memungkinkan untuk mendapatkan akses root. Hadiah pertama adalah $100,000 dan sebuah mobil Tesla Model 3, dan hadiah kedua adalah $250,000.
Serangan tersebut menggunakan aplikasi, browser, dan sistem operasi versi stabil terbaru dengan semua pembaruan dan pengaturan default yang tersedia. Jumlah total kompensasi yang dibayarkan adalah $1,035,000 dan sebuah mobil. Tim dengan poin terbanyak menerima $530,000 dan Tesla Model 3.
Akhirnya, jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat berkonsultasi dengan detailnya Di tautan berikut.