Την πρώτη μέρα του Pwn2Own Vancouver 2024, οι διαγωνιζόμενοι κατάφεραν να βρουν ευπάθειες και να παραβιάσουν Windows 11, Tesla, Ubuntu Linux και άλλα συστήματα.
Ο διαγωνισμός ξεκίνησε με τον Abdul Aziz Hariri που χρησιμοποίησε ένα exploit του Adobe Reader, που συνδύαζε μια παράκαμψη περιορισμού API και ένα σφάλμα command injection. Χάρη σε αυτό, μπόρεσε να εκτελέσει κώδικα στο macOS. Η αμοιβή του ήταν $50.000.
Η Synacktiv κέρδισε το Tesla Model 3 και 200.000 $ αφού χάκαρε το Tesla ECU με το Vehicle (VEH) CAN BUS Control, σε λιγότερο από 30 δευτερόλεπτα, χρησιμοποιώντας integer overflow.
Δύο ερευνητές ασφαλείας της Theori κέρδισαν 130.000 $ αφού εκτέλεσαν κώδικα SYSTEM στο λειτουργικό σύστημα Windows, χρησιμοποιώντας διάφορα σφάλματα.
Δείτε επίσης: Pwn2Own Automotive 2024: Ερευνητές “χάκαραν” την Tesla
Ερευνητές της Reverse Tactics συγκέντρωσαν 90.000 $ αφού βρήκαν και χρησιμοποίησαν δύο σφάλματα Oracle VirtualBox και ένα Windows UAF για να ξεφύγουν από το VM και να αποκτήσουν περισσότερα προνόμια (SYSTEM).
Η ερευνητική ομάδα DEVCORE κέρδισε $30.000 για την απόκτηση περισσότερων προνομίων σε ένα πλήρως ενημερωμένο σύστημα Windows 11, χρησιμοποιώντας ένα exploit που στόχευε δύο σφάλματα. Η συγκεκριμένη ομάδα έλαβε άλλα 10.000 $ για ένα ήδη γνωστό local privilege escalation (LPE) exploit στο Ubuntu Linux.
Άλλοι ερευνητές, που συμμετείχαν στο διαγωνισμό Pwn2Own Vancouver, βρήκαν επίσης ευπάθειες και κατάφεραν να παραβιάσουν τα Google Chrome, Ubuntu Linux, Oracle VirtualBox.
Η πρώτη μέρα του διαγωνισμού Pwn2Own Vancouver ολοκληρώθηκε με τον Manfred Paul να χακάρει τα Apple Safari, Google Chrome και Microsoft Edge, εκμεταλλευόμενος τρεις ευπάθειες zero-day. Η αμοιβή του ήταν 102.500 $.
Δείτε επίσης: Pwn2Own Toronto: Πάνω από 1 εκατομμύριο δολάρια για 58 zero-day
Μετά την επίδειξη των ευπαθειών στο Pwn2Own, οι εταιρείες “που έχουν παραβιαστεί”, πρέπει να κυκλοφορήσουν ενημερώσεις ασφαλείας μέσα σε 90 ημέρες για να διορθώσουν τα κενά ασφαλείας και να προστατεύσουν τους χρήστες του. Μετά από αυτό το διάστημα, το Zero Day Initiative της Trend Micro αποκαλύπτει δημόσια τις ευπάθειες, θέτοντας σε μεγαλύτερο κίνδυνο τους χρήστες.
Καθ’ όλη τη διάρκεια του Pwn2Own Vancouver 2024, οι ερευνητές ασφάλειας θα στοχεύουν πλήρως διορθωμένα προϊόντα.
Τη δεύτερη μέρα, οι διαγωνιζόμενοι του Pwn2Own θα επιχειρήσουν να εκμεταλλευτούν σφάλματα zero-day στα Windows 11, VMware Workstation, Oracle VirtualBox, Mozilla Firefox, Ubuntu Desktop, Google Chrome, Docker Desktop και Microsoft Edge.
Κατά τη διάρκεια του περασμένου Pwn2Own Vancouver, που κέρδισε η Team Synacktiv, οι hackers κέρδισαν 1.035.000 $ και ένα αυτοκίνητο Tesla για 27 zero-day ευπάθειες σε διάφορα προϊόντα.
Δείτε επίσης: Google Bug Bounty: Δόθηκαν $ 10 εκατ. σε ερευνητές το 2023
Η αντίδραση της κοινότητας των hackers και του κοινού είναι πάντα ενθουσιώδης σε αυτούς τους διαγωνισμούς. Όλοι αναγνωρίζουν τη σημασία του διαγωνισμού στην προώθηση της ασφάλειας προϊόντων και συστημάτων.
Ταυτόχρονα, τέτοιοι διαγωνισμοί δίνουν την ευκαιρία στους ίδιους τους hackers να μαθαίνουν και να εμπνέονται από τις τεχνικές και τις στρατηγικές που χρησιμοποιούν άλλοι συνάδελφοί τους.
Η εκδήλωση ενισχύει την κοινότητα των ethical hackers, καθώς προσφέρει μια πλατφόρμα για διάλογο, ανταλλαγή ιδεών και συνεργασία.
Συνολικά, η αντίδραση στην πρώτη μέρα ήταν έντονα θετική, με την κοινότητα των hackers και το ευρύτερο κοινό να αναγνωρίζουν το Pwn2Own Vancouver ως μια σημαντική πρωτοβουλία για την ενίσχυση της κυβερνοασφάλειας.
Πηγή: www.bleepingcomputer.com
