Pwn2Own Vancouver 2024, araştırmacıların 29 farklı sıfır gün güvenlik açığını ortaya çıkarmaları karşılığında toplam 1.132.500 $ almasıyla sona erdi.
Manfred Paul'a Pwn Ustası unvanı verildi. Toplamda 202.500 dolar ve 25 puan kazandı.
İlk gün Synacktiv (@synacktiv) ekibine yeni bir Tesla Model 3 hediye edildi.
2. Günün Önemli Noktaları
Marcin Wiązowski, uygunsuz bir giriş doğrulama hatası kullanarak Windows 11'deki ayrıcalıkları yükseltti. Üç Master of Pwn puanıyla birlikte 15.000 $ aldı.
STAR Labs SG'nin VMware Workstation hack'inde iki hata kullanıldı. Diğer değişken önceden biliniyordu, ilki ise başlatılmamış.
Hala 30.000$ ve altı Master of Pwn puanı alıyorlar.
ColdEye, Oracle VirtualBox'tan yararlanmak için biri UAF olan iki güvenlik açığı kullandı.
Konuk işletim sistemi bile hasar görmeden kaldı. Misafirden ev sahibine kaçışı için dört Master of Pwn puanı ve 20.000 $ kazanır.
Manfred Paul (@_manfp), RCE için bir OOB Write ve açığa çıkan tehlikeli bir işlev hatası kullanarak Mozilla Firefox korumalı alandan kaçışını gerçekleştirdi.
10 Master of Pwn puanına ek olarak 100.000 $ daha kazanarak 25 puanla liderliğin önüne geçiyor.
İlk kez Pwn2Own yarışmacısı olan Gabriel Kirkpatrick (exploits.forsale'den gabe_k), doğası gereği zorlu bir yarış koşulundan yararlanarak #Windows 11'deki ayrıcalıkları artırdı.
Üç Master of Pwn puanının yanı sıra 15.000 $ alıyor.
Palo Alto Networks'ten Edouard Bochin (@le_douds) ve Tao Yan (@Ga1ois), V8 güçlendirmenin ötesine geçmek ve oluşturucuda rastgele kod yürütme elde etmek için benzersiz bir yöntemle birlikte bir OOB Okumasından yararlandı.
Chrome ve Edge'den yararlanmak için aynı zayıflıkları kullanmaya devam ederek 42.500 dolar ve dokuz Master of Pwn puanı topladılar.
KAIST Hacking Lab'dan Seunghyun Lee (@0x10n), hem Microsoft Edge hem de Google Chrome'daki oluşturucuda RCE'ye UAF kullandı.
9$ Master of Pwn puanı ve 85.000$ alıyor. Yarışma toplamı şu anda 145.000$ artı 15 Master of Pwn puanına ulaştı.
IBM X-Force'tan Valentina Palmiotti (@chompie1337), Uygunsuz Referans Sayısı Güncellemesi kusurunu kullanarak Windows 11'deki ayrıcalıkları yükseltmeyi başardı.
İlk #Pwn2Own yarışmasını kazandıktan sonra üç Master of Pwn puanı ve 15.000 $ kazandı.
Pwn2Own'un ilk gününde bilgisayar korsanları özellikle Oracle VM, Adobe Reader, Microsoft Sharepoint, Tesla ECU ve Ubuntu'yu hacklediler.
Özellikle yığın tabanlı arabellek taşmasını, UAF'yi ve başlatılmamış değişken kusuru birleştirerek, Theori'den (@theori_io) Gwangun Jung (@pr0ln) ve Junoh Lee (@bbbig12) VMware Workstation'dan kaçmayı ve kodu SYSTEM üzerinde çalıştırmayı başardılar. ana bilgisayar Windows işletim sistemi.
Olağanüstü başarılarından dolayı 130.000 $ ve 13 Master of Pwn puanı alıyorlar.
Synacktiv (@synacktiv) ekibi, tek bir tamsayı taşması kullanarak Araç (VEH) CAN BUS Kontrollü Tesla ECU'dan yararlandı.
Kazananlar yeni bir Tesla Model 3 (ikincileri!), 200.000 $ ve 20 Master of Pwn puanı alıyor.
Son üç Pwn2Own etkinliğine (Vancouver, Automotive ve Toronto) dayanarak ZDI, bu yıl Pwn2Own etkinliklerinde 3.494.750 $ dağıttı.
Ayrıca Pwn2Own Vancouver 2024 2. Gün sonuçlarına ilişkin kapsamlı bir genel bakışı burada bulabilirsiniz.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.