Pwn2own Vancouver 2023'ün ikinci gününde, rakiplere birden fazla üründe 10 sıfır gün başarılı bir şekilde yararlandıktan sonra 475.000 dolar kazandı.
Hacklenen hedeflerin listesi arasında Tesla Model 3, Microsoft'un Teams iletişim platformu, Oracle Virtualbox sanallaştırma platformu ve Ubuntu masaüstü işletim sistemi vardı.
İkinci günün en önemli özelliği, Synacktiv'in David Berard (@_p0ly_) ve Vincent Dehors'tan (@vdehors) Tesla - bilgi -eğlence dışı kökü karşısında başarılı bir girişim oldu.
Bu, bir yığın taşması ve bir OOB yazma sıfır gün istismar zinciri gösterdikten sonra onlara 250.000 dolar kazandı.
Synacktiv'ten Thomas Imbert (@asthoon) ve Thomas Bouzerar (@majortomec) de 80.000 dolar kazanmak için bir Oracle Virtualbox sunucusundaki ayrıcalıkları artırmak için üç bug zincirden yararlandı.
Synacktiv'ten üçüncü bir denemede, Tanguy Dubroca (@sidewayre), Ubuntu masaüstünde ayrıcalık artışına yol açan yanlış bir işaretçi ölçeklendirme için 30.000 dolar ödüllendirildi.
Team Viettel (@VCSLab), 78.000 dolar kazanmak için 2bug zinciri üzerinden Microsoft takımlarını ve 40.000 $ karşılığında bir kullanım hatası (UAF) kullanma hatası ve inatçı bir değişken kullanarak Oracle'ın Virtualbox'ı da hackledi.
İlk gün, Pwn2own yarışmacılarına Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle Virtualbox ve macOS'ta başarılı bir şekilde 12 sıfır gün demo ettikten sonra 375.000 dolar ve Tesla Model 3'e layık görüldü.
Yarışmanın son gününde, güvenlik araştırmacıları Ubuntu masaüstü, Microsoft Teams, Windows 11 ve VMware iş istasyonundaki sıfır gün hatalarından yararlanmaya çalışacaklar.
PWN2OWN VANCOUVER 2023 yarışmacılar, 22 Mart ve 24 Mart arasında 1.080.000 dolar nakit ve Tesla Model 3 otomobili (zaten ilk gün kazandı) kazanabilirler.
Araştırmacılar, yarışmada kurumsal uygulamalar, kurumsal iletişim, sunucular, sanallaştırma, otomotiv ve ayrıcalıkların yerel yükselmesi (EOP) dahil olmak üzere birçok kategoriden ürünleri hedefleyecekler.
Bu #P2ovancouver'ın 2. gününü sona erdiriyor-bugün 10 benzersiz sıfır günü için 475.000 dolar verdik ve toplamı 850.000 dolara getirdik! Yarışın son günü için yarın bizi izlemeye devam edin. #Pwn2own pic.twitter.com/etmnp4ree5
ZDI, "Bu yılki etkinlik, iki Tesla denemesi de dahil olmak üzere dokuz farklı hedefi hedefleyen 19 girişimiz olduğu için heyecan verici araştırmalar vaat ediyor." Dedi.
"Bu yılki etkinlik için her tur tam fiyat ödeyecek, yani tüm istismarlar başarılı olursa 1.000.000 doların üzerinde USD ödeyeceğiz."
Satıcılar, Trend Micro'nun Sıfır Gün Girişimi teknik detayları yayınlamadan önce 90 gün içinde PWN2OWN sırasında demo ve açıklanan sıfır gün güvenlik açıklarını yamalı ve açıklamalıdır.
Pwn2own Vancouver 2022'de güvenlik araştırmacıları, Tesla Model 3 bilgi-eğlence sistemini hackledikten sonra Windows 11'i altı kez indirdikten, üç Microsoft Teams sıfır gününü gösterdikten ve Ubuntu masaüstünü dört kez kullandıktan sonra 1.155.000 dolar kazandı.
Windows 11, Tesla, Ubuntu ve MacOS PWN2OWN 2023'te hacklendi
PWN2OWN'ın son gününde Windows, Ubuntu ve VMware iş istasyonu
Windows 11 tekrar Pwn2own'da hacklendi, Tesla Model 3 de düşüyor
Aktif olarak sömürülen Goany Where Mft Zero-Day için serbest bırakılan istismar
Microsoft, Outlook Zero Day Sömürü algılamaya ilişkin ipuçlarını paylaşıyor
Kaynak: Bleeping Computer