Confira o primeiro dia de um dos maiores eventos hacker do mundo, onde o Windows 11, Ubuntu e macOS foram hackeados no Pwn2Own 2023.
Sim. No primeiro dia do Pwn2Own Vancouver 2023, os pesquisadores de segurança demonstraram com sucesso o Tesla Model 3, Windows 11 e exploits zero-day do macOS e cadeias de exploits para ganhar US$ 375.000 e um Tesla Model 3.
Windows 11, Ubuntu e macOS foram hackeados no Pwn2Own 2023
O primeiro a cair foi o Adobe Reader na categoria de aplicativos corporativos depois que Abdul Aziz Hariri (@abdhariri) da Haboob SA usou uma cadeia de exploração visando uma cadeia lógica de 6 bugs abusando de vários patches com falha que escaparam da sandbox e contornaram uma lista de APIs proibidas no macOS para ganhar US$ 50.000.
A equipe do STAR Labs (@starlabs_sg) demonstrou uma cadeia de exploração de dia zero visando a plataforma de colaboração da equipe SharePoint da Microsoft que lhes rendeu uma recompensa de US$ 100.000 e invadiu com sucesso o Ubuntu Desktop com uma exploração anteriormente conhecida por US$ 15.000.
Synacktiv (@Synacktiv) levou para casa US$ 100.000 e um Tesla Model 3 após executar com sucesso um ataque TOCTOU (time-of-check to time-of-use) contra o Tesla – Gateway na categoria Automotivo.
Eles também usaram uma vulnerabilidade de dia zero TOCTOU para escalar privilégios no Apple macOS e ganharam US$ 40.000.
O Oracle VirtualBox foi hackeado usando uma leitura OOB e uma cadeia de exploração de estouro de buffer baseada em pilha (no valor de US$ 40.000) por Bien Pham (@bienpnn) da Qrious Security.
Por último, mas não menos importante, Marcin Wiązowski elevou os privilégios no Windows 11 usando uma validação de entrada imprópria de dia zero que veio com um prêmio de US$ 30.000.
Durante o concurso Pwn2Own Vancouver 2023, os pesquisadores de segurança terão como alvo produtos em aplicativos corporativos, comunicações corporativas, escalonamento local de privilégios (EoP), servidor, virtualização e categorias automotivas.
No segundo dia, os concorrentes do Pwn2Own demonstrarão exploits zero-day direcionados ao Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root e Ubuntu Desktop.
No último dia do concurso, os pesquisadores de segurança definirão seus alvos novamente no Ubuntu Desktop e tentarão hackear Microsoft Teams, Windows 11 e VMware Workstation.
Entre 22 e 24 de março, os competidores podem ganhar US$ 1.080.000 em dinheiro e prêmios, incluindo um carro Tesla Model 3. O maior prêmio por hackear um Tesla agora é de US$ 150.000, e o próprio carro.
Depois que as vulnerabilidades de dia zero são demonstradas e divulgadas durante o Pwn2Own, os fornecedores têm 90 dias para criar e liberar correções de segurança para todas as falhas relatadas antes que a Zero Day Initiative da Trend Micro as divulgue publicamente.
Durante o concurso Vancouver Pwn2Own do ano passado, os pesquisadores de segurança ganharam US$ 1.155.000 depois de hackear o Windows 11 seis vezes, o Ubuntu Desktop quatro vezes e demonstrar com sucesso três dias zero do Microsoft Teams.
Eles também relataram vários dias zero no Apple Safari, Oracle Virtualbox e Mozilla Firefox e hackearam o Tesla Model 3 Infotainment System.