PWN2own Vancouver 2023'ün ilk gününde, güvenlik araştırmacıları Tesla Model 3, Windows 11 ve MacOS sıfır gün istismarlarını ve 375.000 dolar kazanmak için zincirleri ve Tesla Model 3'ü başarıyla demo etti.
İlk düşen, HaBoob SA'nın Abdul Aziz Hariri (@Abdhariri), sanal kutusundan kaçan ve macolar üzerinde yasaklanmış bir API listesini atlayan çoklu başarısız yamaları kötüye kullanan 6bbug mantık zincirini hedefleyen bir istismar zincirini kullandıktan sonra Kurumsal Uygulamalar kategorisinde Adobe Reader'dı. 50.000 dolar kazanın.
Star Labs ekibi (@StarLabs_SG), Microsoft'un 100.000 dolarlık bir ödül getiren ve daha önce bilinen bir istismarla 15.000 $ karşılığında başarılı bir şekilde hacklenen SHAREPOINT TAKIM TEAM işbirliği platformunu hedefleyen bir sıfır gün istismarı zincirini tanıttı.
Synacktiv (@synacktiv), otomotiv kategorisindeki Tesla-ağ geçidine karşı bir Toctou (kullanım saati) saldırısı başarıyla yürüttükten sonra 100.000 dolar ve Tesla Model 3 aldı. Ayrıca Apple macOS'taki ayrıcalıkları artırmak için bir Toctou sıfır günü güvenlik açığı kullandılar ve 40.000 dolar kazandılar.
Oracle VirtualBox, Qrious Security'nin Bien Pham (@Bienpnn) tarafından bir OOB Read ve istiflenmiş tabanlı bir tampon taşma istismar zinciri (40.000 $ değerinde) kullanılarak hacklendi.
Son olarak, Marcin Wiązowski, 30.000 dolarlık bir ödülle gelen yanlış bir giriş doğrulaması sıfır günü kullanarak Windows 11'de ayrıcalıkları yükseltti.
Bu #P2ovancouver 2023'ün ilk gününü tamamlıyor! Yarışmanın ilk gününde 12 sıfır gün için 375.000 dolar (ve Tesla Model 3!) Ödül ettik. Yarın yarışmanın ikinci günü için bizi izlemeye devam edin! #Pwn2own pic.twitter.com/utvzqxmi8e
PWN2OWN Vancouver 2023 yarışması boyunca güvenlik araştırmacıları, kurumsal uygulamalar, kurumsal iletişim, yerel ayrıcalık (EOP), sunucu, sanallaştırma ve otomotiv kategorilerindeki ürünleri hedefleyecek.
İkinci gün, PWN2own yarışmacıları, Microsoft Teams, Oracle Virtualbox, Tesla Model 3 bilgi-eğlence serbest kökü ve Ubuntu masaüstü hedefleyen sıfır gün istismarlarını demo edecekler.
Yarışmanın son gününde, güvenlik araştırmacıları hedeflerini tekrar Ubuntu masaüstünde belirleyecek ve Microsoft Teams, Windows 11 ve VMware iş istasyonunu hacklemeye çalışacaklar.
22 Mart ve 24 Mart arasında yarışmacılar Tesla Model 3 otomobili de dahil olmak üzere 1.080.000 dolar nakit ve ödül kazanabilirler. Bir Tesla'yı hacklemek için en büyük ödül şimdi 150.000 dolar ve otomobilin kendisi.
PWN2OWN sırasında sıfır gün güvenlik açıkları demo ve açıklandıktan sonra, satıcıların Trend Micro'nun Sıfır Günü girişimi kamuya açıklamadan önce bildirilen tüm kusurlar için güvenlik düzeltmeleri oluşturmak ve yayınlamak için 90 gün vardır.
Geçen yılki Vancouver PWN2OWN yarışmasında, güvenlik araştırmacıları Windows 11'i altı kez hackledikten sonra 1.155.000 dolar, Ubuntu masaüstünü dört kez ve üç Microsoft Teams sıfır gününü başarıyla gösterdikten sonra kazandı.
Ayrıca Apple Safari, Oracle Virtualbox ve Mozilla Firefox'ta birkaç sıfır gün bildirdiler ve Tesla Model 3 bilgi-eğlence sistemini hacklediler.
Microsoft Teams, Virtualbox, Tesla Zero-Days Pwn2Oown'da sömürüldü
Windows 11 tekrar Pwn2own'da hacklendi, Tesla Model 3 de düşüyor
Clop fidye yazılımı Saks Fifth Avenue, perakendeci, Mock Verilerinin Çalındığını Söyledi
Hitachi Energy, Clop Goany Where saldırılarından sonra veri ihlalini teyit ediyor
Genel bayt bitcoin ATM'ler sıfır gün kullanılarak hacklendi, 1,5 milyon dolar çalındı
Kaynak: Bleeping Computer