Microsoft Teams, Virtualbox e Tesla sono stati tutti sfruttati in Pwn2Own

Durante il Day 2 di Pwn2Own Vancouver 2023, i concorrenti hanno ricevuto $ 475.000 dopo aver sfruttato con successo 10 giorni di zero su più prodotti.

Gli obiettivi compromessi includevano Tesla Model 3, la piattaforma di comunicazione Teams di Microsoft, la piattaforma virtuale Oracle VirtualBox e il sistema operativo Ubuntu Desktop.

Il momento clou del secondo giorno è stato un tentativo riuscito di David Berard di Synacktiv (@_p0ly_) e Vincent Dehors (@dipendente) contro Tesla – la radice dell’infotainment disinibito.

Ciò ha fatto guadagnare loro $ 250.000 e ha permesso loro di ottenere una Tesla Model 3 dopo aver violato lo stack di overflow e aver scritto una stringa di exploit OOB.

Thomas Imbert di Synacktiv (@dipendente) e Thomas Boozer (@dipendente) ha anche sfruttato con successo una serie di tre errori di escalation dei privilegi su un host Oracle VirtualBox per guadagnare $ 80.000.

Al terzo tentativo di Synacktiv, Tanguy Dubroca (@dipendente) ha ricevuto $ 30.000 per la dimostrazione di un benchmark zero-day errato con conseguente escalation dei privilegi sul desktop Ubuntu.

Squadra Vettel (@dipendente) ha anche violato Microsoft Teams tramite un bug della serie 2 per guadagnare $ 78.000 e VirtualBox di Oracle con un bug use-after-free (UAF) e una variabile non inizializzata per $ 40.000.

Il primo giorno, i concorrenti di Pwn2Own hanno ricevuto $ 375.000 e un’auto Tesla Model 3 dopo aver lanciato con successo 12 Zero Days in Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox e macOS.

Nell’ultimo giorno della competizione, i ricercatori di sicurezza tenteranno exploit zero-day in Ubuntu Desktop, Microsoft Teams, Windows 11 e VMware Workstation.

Pwn2Own Vancouver 2023 I concorrenti possono vincere $ 1.080.000 in contanti e due auto Tesla Model 3 tra il 22 e il 24 marzo.

Ricercatori I prodotti saranno mirati da più categorie durante la competizione, tra cui applicazioni aziendali, comunicazioni aziendali, server, virtualizzazione, settore automobilistico ed escalation dei privilegi locali (EoP).

“L’evento di quest’anno promette una ricerca entusiasmante in quanto abbiamo 19 voci mirate a nove obiettivi diversi, inclusi due tentativi di Tesla”, ha affermato ZDI.

“Per l’evento di quest’anno, ogni round pagherà il prezzo intero, il che significa che se tutti gli exploit avranno successo, assegneremo oltre $ 1.000.000 USD.”

I fornitori devono correggere le vulnerabilità zero-day testate e divulgarle tramite Pwn2Own entro 90 giorni prima che la Zero Day Initiative di Trend Micro rilasci pubblicamente i dettagli tecnici.

Al Pwn2Own Vancouver 2022, i ricercatori di sicurezza hanno guadagnato $ 1.155.000 dopo che un sistema di infotainment Tesla Model 3 è stato violato, bloccando Windows 11 sei volte, mostrando tre zero giorni di Microsoft Teams e sfruttando Ubuntu Desktop quattro volte.