Ο hacking διαγωνισμός Pwn2Own Vancouver 2024 ολοκληρώθηκε με τους ερευνητές ασφαλείας/hackers να συγκεντρώνουν 1.132.500 $, μετά την εύρεση και χρήση 29 zero-day ευπαθειών.
Καθ’ όλη τη διάρκεια της εκδήλωσης, οι hackers κατάφεραν να παραβιάσουν λογισμικό και προϊόντα σε διάφορες κατηγορίες, συμπεριλαμβανομένων των προγραμμάτων περιήγησης ιστού, cloud-native/container, virtualization, εταιρικών εφαρμογών, servers, αυτοκινήτων κ.ά. Όλα τα προϊόντα ήταν ενημερωμένα και στην προεπιλεγμένη τους διαμόρφωση.
Το συνολικό έπαθλο για τους hackers, στο Pwn2Own Vancouver 2024, ξεπέρασε τα $1.300.000, ενώ η Team Synacktiv κέρδισε και ένα Tesla Model 3.
Δείτε επίσης: Pwn2Own Vancouver 2024: Παραβίαση Windows 11, Tesla Ubuntu Linux και άλλων συστημάτων
Οι διαγωνιζόμενοι κατάφεραν να εκτελέσουν κώδικα και να αποκτήσουν περισσότερα προνόμια σε πλήρως ενημερωμένα συστήματα, μετά από χάκαρισμα των Windows 11, του Ubuntu Desktop, του VMware Workstation, του Oracle VirtualBox, τριών προγραμμάτων περιήγησης ιστού (Apple Safari, Google Chrome και Microsoft Edge) και του Tesla Model 3.
Οι εταιρείες που “παραβιάστηκαν” έχουν στη διάθεσή τους 90 ημέρες για να κυκλοφορήσουν ενημερώσεις ασφαλείας, προτού το Zero Day Initiative της TrendMicro αποκαλύψει τις ευπάθειες δημόσια.
Μεγάλος νικητής του Pwn2Own Vancouver 2024 ήταν ο Manfred Paul με 25 Master of Pwn points και αμοιβή 202.500 $, την οποία κέρδισε για το χάκαρισμα των προγραμμάτων περιήγησης Apple Safari, Google Chrome και Microsoft Edge.
Την πρώτη ημέρα του Pwn2Own, πραγματοποίησε απομακρυσμένη εκτέλεση κώδικα (RCE) στο Safari μέσω ενός integer underflow bug και ενός συνδυασμού zero-day για την παράκαμψη PAC. Στη συνέχεια χρησιμοποίησε ένα double-tap RCE exploit για να επηρεάσει τους Chrome και Edge.
Δείτε επίσης: Pwn2Own Automotive 2024: Ερευνητές “χάκαραν” την Tesla
Τη δεύτερη μέρα, ο Manfred Paul εκμεταλλεύτηκε επίσης μια ευπάθεια out-of-bounds (OOB) write zero-day για RCE επίθεση και ξέφυγε από το sandbox του Mozilla Firefox χρησιμοποιώντας ένα επικίνδυνο function weakness.
Η Synacktiv ήταν, επίσης, πολύ αποτελεσματική στο Pwn2Own Vancouver 2024 αφού από την πρώτη ημέρα κέρδισε ένα αυτοκίνητο Tesla Model 3 και 200.000 $. Η ομάδα κατάφερε να χακάρει το ECU της Tesla με το Vehicle (VEH) CAN BUS Control σε λιγότερο από 30 δευτερόλεπτα.
Άλλες επιτυχημένες προσπάθειες την τελευταία ημέρα περιλαμβάνουν:
- Χρήση privilege escalation exploits στα Windows 11
- Privilege escalation exploits σε VMware Workstation και Ubuntu Linux
- Παραβίαση των Chrome και Edge
- και άλλα
Pwn2Own Vancouver 2024
Η αντίδραση της κοινότητας των hackers και του κοινού είναι πάντα ενθουσιώδης σε αυτούς τους διαγωνισμούς. Όλοι αναγνωρίζουν τη σημασία του διαγωνισμού στην προώθηση της ασφάλειας προϊόντων και συστημάτων.
Ταυτόχρονα, τέτοιοι διαγωνισμοί δίνουν την ευκαιρία στους ίδιους τους hackers να μαθαίνουν και να εμπνέονται από τις τεχνικές και τις στρατηγικές που χρησιμοποιούν άλλοι συνάδελφοί τους.
Δείτε επίσης: Pwn2Own Toronto: Πάνω από 1 εκατομμύριο δολάρια για 58 zero-day
Η εκδήλωση Pwn2Own Vancouver 2024 ενισχύει την κοινότητα των ethical hackers, καθώς προσφέρει μια πλατφόρμα για διάλογο, ανταλλαγή ιδεών και συνεργασία.
Συνολικά, η αντίδραση ήταν έντονα θετική, με την κοινότητα των hackers και το ευρύτερο κοινό να αναγνωρίζουν το Pwn2Own Vancouver ως μια σημαντική πρωτοβουλία για την ενίσχυση της κυβερνοασφάλειας.
Πηγή: www.bleepingcomputer.com
