Pwn2Own 2033 hölls i Vancouver
nyligen resultaten av de tre dagarna av tävlingen Pwn2Own 2023, som hålls årligen som en del av CanSecWest-konferensen i Vancouver.
I den här nya utgåvan tekniker har visat sig fungera för att utnyttja sårbarheter tidigare okänd för Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint och för Tesla-fordon.
Totalt visades 27 framgångsrika attacker som utnyttjade tidigare okända sårbarheter.
För de som inte är bekanta med Pwn2Own bör du veta att detta är ett globalt hackevent som organiseras av Trend Micro Zero-Day Initiative (ZDI), som har ägt rum sedan 2005. I det tävlar några av de bästa hackingteamen mot tekniska mål standardvärden och varandra, med hjälp av "nolldagars"-exploater.
Dessa elithackarprisjägare och säkerhetsforskare har en strikt tidsgräns för att framgångsrikt "pwn" målen i fråga. Framgång belönas både med poäng som läggs till en Masters of Pwn-poängtavla, och beröm till Pwn2Own ska inte underskattas eftersom konkurrenskraften är stark här, såväl som imponerande utbetalningar. Totalt har Pwn2Own Vancouver 2023 en prisfond på över 1 miljon dollar.
Den första som föll var Adobe Reader i kategorin affärsapplikationer efter Abdul Aziz Hariri (@abdhariri) från Haboob SA använde en kedja av bedrifter inriktat på en logikkedja med 6 buggar som missbrukade flera misslyckade patchar som undkom sandlådan och kringgick en lista över förbjudna API:er i macOS för att vinna 50.000 XNUMX $.
I tävling visade fem framgångsrika försök att explodera tidigare okända sårbarheter i Ubuntu Desktop, gjorda av olika team av deltagare.
Problemen orsakades av dubbelt frigörande av minne (en $30k bonus), den minnesåtkomst efter fri (en bonus på $30 30), felaktig pekarhantering (en $ 15 XNUMX bonus). I två demos, redan kända, men inte fixade, användes sårbarheter (två bonusar på XNUMX tusen dollar). Dessutom gjordes ett sjätte försök att attackera Ubuntu, men utnyttjandet fungerade inte.
Om komponenterna i problemet har ännu inte rapporterats, enligt tävlingsvillkoren kommer detaljerad information om alla påvisade nolldagssårbarheter att publiceras först efter 90 dagar, som ges för att förbereda uppdateringar av tillverkare för att eliminera sårbarheter.
Om de andra demos av framgångsrika attacker nämns följande:
- Tre Oracle VirtualBox-hack som utnyttjar sårbarheter orsakade av Memory Access After Free Vulnerabilities, Buffer Overflow och Read Out of Buffer (två $40k bonusar och $80k bonus för att utnyttja 3 sårbarheter som möjliggjorde exekvering av kod på värdsidan).
- Apples macOS Elevation ($40K Premium).
- Två attacker mot Microsoft Windows 11 som gjorde det möjligt för dem att öka sina privilegier ($30.000 XNUMX bonusar).
- Sårbarheterna orsakades av postfri minnesåtkomst och felaktig indatavalidering.
- Attackera Microsoft Teams med hjälp av en kedja av två buggar i exploateringen ($75,000 XNUMX premium).
- Attack mot Microsoft SharePoint ($100,000 XNUMX bonus).
- Attackera VMWare-arbetsstationen genom att komma åt ledigt minne och en oinitierad variabel ($80 000 premium).
- Kodexekvering medan innehåll renderas i Adobe Reader. En komplex kedja av 6 fel användes för att attackera, kringgå sandlådan och komma åt det förbjudna API:et ($50,000 XNUMX pris).
Två attacker mot Teslas bilinfotainmentsystem och Tesla Gateway, vilket gör det möjligt att få root-åtkomst. Förstapriset var $100,000 3 och en Tesla Model 250,000-bil, och andrapriset var $XNUMX XNUMX.
Attackerna använde de senaste stabila versionerna av applikationer, webbläsare och operativsystem med alla tillgängliga uppdateringar och standardinställningar. Det totala ersättningsbeloppet som betalades ut var $1,035,000 530,000 3 och en bil. Laget med flest poäng fick $XNUMX XNUMX och en Tesla Model XNUMX.
Slutligen, om du är intresserad av att veta mer om det kan du läsa detaljerna I följande länk.