Pwn2Own Vancouver 2024, güvenlik araştırmacılarının 29 sıfır gün (ve bazı hata çarpışmaları) gösteriminin ardından 1.132.500 $ toplamasıyla sona erdi.
Etkinlik boyunca web tarayıcısı, bulut yerel/konteyner, sanallaştırma, kurumsal uygulamalar, sunucu, yerel ayrıcalık yükseltme (EoP), kurumsal iletişim ve otomotiv kategorilerindeki tamamı güncel ve güncel yazılım ve ürünleri hedef aldılar. onların varsayılan yapılandırması.
Toplam ödül havuzu, nakit ödüller ve bir Tesla Model 3 olarak 1.300.000 doların üzerindeydi. Ekip Synacktiv ilk günde kazandı.
Rakipler, Windows 11, Ubuntu Masaüstü, VMware Workstation, Oracle VirtualBox, üç web tarayıcısı (Apple Safari, Google Chrome ve Microsoft Edge) ve Tesla Model 3'ü hackledikten sonra tamamen yamalı sistemlerde kod yürütmeyi başarıyla kazandılar ve ayrıcalıkları artırdılar.
Tedarikçilerin, TrendMicro'nun Sıfır Gün Girişimi bunları kamuya açıklamadan önce, Pwn2Own yarışmaları sırasında bildirilen sıfır gün güvenlik açıklarına yönelik güvenlik düzeltmelerini yayınlamak için 90 günü var.
ZDI, son üç Pwn2Ownco hackleme yarışmasında (Toronto, Tokyo Automotive ve Vancouver) 3.494.750 $ ödül aldı.
Pwn2Own Vancouver 2023'te bilgisayar korsanları, Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Masaüstü, VMware Workstation, Oracle VirtualBox ve Tesla Model 3'te 27 sıfır gün boyunca 1.035.000 ABD doları ödül ve bir Tesla arabası (Synaktiv kazandı) topladı.
Manfred Paul, Apple Safari, Google Chrome ve Microsoft Edge web tarayıcılarını hackledikten sonra bu yılki Pwn2Own Vancouver edisyonunu 25 Master of Pwn puanı ve iki günlük yarışma boyunca kazandığı 202.500 $ ile kazandı.
Pwn2Own'un ilk gününde, bir tamsayı taşma hatası ve PAC baypas sıfır gün kombinasyonu aracılığıyla Safari'de uzaktan kod yürütme (RCE) elde etti. Daha sonra Chrome ve Edge'i çökertmek için Giriş zayıflığında Belirtilen Miktarın Uygun Olmayan Doğrulamasını hedefleyen bir RCE istismarını iki kez kullandı.
Synacktiv ayrıca bir Tesla Model 3 otomobili kazandıktan sonra Pwn2Own Vancouver 2024'ün 1. Günün önemli anlarını ve Araç (VEH) CAN BUS Kontrollü Tesla ECU'sunu bir tam sayı taşması istismarı kullanarak 30 saniyeden kısa bir sürede hackledikten sonra 200.000 $ kazandı.
İkinci günde, Manfred Paul ayrıca RCE kazanmak için sınır dışı (OOB) sıfır gün yazma güvenlik açığından yararlandı ve açığa çıkan tehlikeli işlev zayıflığını kullanarak Mozilla Firefox'un sanal alanından kaçtı.
Son gündeki diğer başarılı girişimler (ve hata çarpışmaları) şunları içerir:
- HackInside, IBM X-Force'tan Valentina Palmiotti, Marcin Wiązowski ve Gabriel Kirkpatrick'in Windows 11 ayrıcalık yükseltme istismarları,
- STAR Labs SG'nin VMware Workstation RCE ve Ubuntu Linux ayrıcalık yükseltme istismarları ve Docker kaçışı,
- Palo Alto'nun ekibi V8 sertleşmesini yendikten sonra Chrome ve Edge'i hackliyor,
- ColdEye'ın Oracle VirtualBox misafirden ana bilgisayara kaçış istismarı,
- KAIST Hacking Lab'den Seunghyun Lee, Chrome ve Edge RCE'den yararlanarak iki kez dokundu,
- Theori, Ubuntu Linux'ta ayrıcalık artışıyla