Pwn2Own Vancouver 2023, yarışmacıların 1.035.000 $ kazanması ve 22-24 Mart tarihleri arasında 27 sıfır gün (ve birkaç böcek çarpışması) için bir Tesla Model 3 arabası ile sona erdi.
Bilgisayar korsanlığı yarışması sırasında, güvenlik araştırmacıları kurumsal uygulamalar ve iletişim, yerel ayrıcalık yükseltme (EoP), sanallaştırma, sunucular ve otomotiv kategorilerindeki tümü güncel ve varsayılan yapılandırmalarında olan cihazları hedef aldı.
Pwn2Own Vancouver 2023 için toplam ödül havuzu nakit olarak 1.000.000 doların üzerinde ve bir Tesla Model 3 idi. Ekip Synacktiv kazanmak.
Bilgisayar korsanları, Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox ve tabii ki Tesla Model 3’ü hackledikten sonra ayrıcalıkları başarıyla artırdı ve tamamen yama uygulanmış sistemlerde kod yürütme hakkı kazandı.
Pwn2Own sırasında sıfır gün güvenlik açıklarından yararlanılıp rapor edildikten sonra, satıcı firmalara güvenlik düzeltmelerini TrendMicro’nun Sıfır Gün Girişimi kamuya açıklamadan önce yayınlamaları için 90 gün verilir.
Team Synacktiv’in hakim olduğu yarışma
Synacktiv Ekibi, yarışmanın üç günü boyunca 53 Master of Pwn puanı ve toplam 530.000 $ kazanarak yarışmayı kazandı.
Pwn2Own Vancouver’ın ilk gününde Synacktiv’ın bilgisayar korsanları, Otomotiv kategorisinde Tesla – Ağ Geçidine karşı bir TOCTOU (time-of-check to time-of-use) saldırısı gerçekleştirdikten sonra 100.000 $ ve bir Tesla Model 3 ile ödüllendirildi. Ayrıca, Apple macOS’ta ayrıcalıkları yükseltmek ve 40.000 $ kazanmak için bir TOCTOU sıfır gün hatasından yararlandılar.
Yarışmanın ikinci gününde, Synacktiv üyelerinin bilgisayar korsanlığı istismarları, David Berard’a (@_p0ly_) ve Vincent Dehors (@vdehors) Tesla – Infotainment Unconfined Root’a karşı bir yığın taşması ve bir OOB yazma sıfır günlük istismar zinciri gösterdikten sonra.
Synacktiv’den Thomas Imbert (@masthoon) ve Thomas Bouzerar (@MajorTomSec) ayrıca bir Oracle VirtualBox ana bilgisayarında ayrıcalıkları yükseltmek için üç hata zincirinin tanıtımını yaptı ve 80.000 $ kazandı, Tanguy Dubroca (@SidewayRE), Ubuntu Masaüstünde ayrıcalık artışına yol açan sıfır günü yanlış bir işaretçi ölçeklendirmesi için 30.000 $ ödül aldı.
Yarışmanın üçüncü ve son gününde Synacktiv’den Thomas Imbert (@masthoon), Ücretsiz Kullanım (UAF) sıfır gün için 30.000 $ kazanmak üzere tam yama uygulanmış bir Windows 11 sistemini devre dışı bıraktı.
bu STAR Labs Ekibi ayrıca Microsoft SharePoint ve VMWare İş İstasyonunda sıfır gün ve bir Ubuntu Masaüstü çarpışması için 195.000 $ kazandı. Viettel Takımı Microsoft Teams ve Oracle VirtualBox’ı hackledikten sonra 115.000 $ ödül aldı.
Geçen yıl Mayıs 2022’de düzenlenen Pwn2Own Vancouver bilgisayar korsanlığı yarışmasında, araştırmacılar Tesla Model 3 Bilgi-Eğlence Sistemini hackledikten ve Windows 11, Ubuntu Masaüstü, Microsoft Teams ve daha fazlasını birden çok sıfır gün hatası ve istismar zinciri kullanarak çökerttikten sonra 1.155.000 dolar ve bir araba kazandılar.