Pwn2Own Vancouver 2023’ün ikinci gününde, birden fazla üründe 10 sıfır günü başarıyla kullanan yarışmacılar 475.000 $ ödül aldı.
Saldırıya uğrayan hedefler arasında Tesla Model 3, Microsoft’un Teams iletişim platformu, Oracle VirtualBox sanallaştırma platformu ve Ubuntu Masaüstü işletim sistemi yer alıyor.
İkinci günün öne çıkan özelliği, Synacktiv’den David Berard’ın (@_p0ly_) ve Vincent Dehors (@vdehors) Tesla – Infotainment Unconfined Root’a karşı.
Bu onlara 250.000 $ kazandırdı ve bir yığın taşması ve bir OOB yazma istismar zinciri yoluyla hacklemeden sonra bir Tesla Model 3’ü eve götürmelerine izin verdi.
Synacktiv’den Thomas Imbert (@masthoon) ve Thomas Bouzerar (@MajorTomSec) ayrıca 80.000 $ kazanmak için bir Oracle VirtualBox ana bilgisayarında ayrıcalıkları yükseltmek için üç hata zincirinden başarıyla yararlandı.
Synacktiv’den üçüncü bir denemede, Tanguy Dubroca (@SidewayRE), Ubuntu Masaüstünde ayrıcalık artışına yol açan sıfır gün ölçekleme yanlış bir işaretçi demosu yaptığı için 30.000 $ ile ödüllendirildi.
Takım Viettel (@vcslab) ayrıca 78.000 $ kazanmak için 2 hata zinciri aracılığıyla Microsoft Teams’i ve 40.000 $ karşılığında Use-After-Free (UAF) hatası ve başlatılmamış bir değişken kullanarak Oracle’ın VirtualBox’ını hackledi.
İlk gün, Pwn2Own rakipleri Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox ve macOS’ta 12 sıfır günü başarıyla demo ettikten sonra 375.000 $ ve bir Tesla Model 3 ile ödüllendirildi.
Yarışmanın son gününde, güvenlik araştırmacıları Ubuntu Desktop, Microsoft Teams, Windows 11 ve VMware Workstation’daki sıfır gün hatalarından yararlanmaya çalışacak.
Pwn2Own Vancouver 2023 yarışmacıları, 22 Mart – 24 Mart tarihleri arasında 1.080.000 $ nakit ve iki Tesla Model 3 araba kazanabilir.
Araştırmacılar, yarışma sırasında kurumsal uygulamalar, kurumsal iletişim, sunucular, sanallaştırma, otomotiv ve yerel ayrıcalık yükseltme (EoP) dahil olmak üzere birden fazla kategorideki ürünleri hedefleyecek.
2. günü bitiriyor #P2OVancouver – bugün 10 benzersiz sıfır gün için 475.000$ ödül verdik ve toplam ödülü 850.000$’a çıkardık! Yarışmanın son günü için yarın takipte kalın. #Pwn2Own pic.twitter.com/EtMnP4Ree5
— Sıfır Gün Girişimi (@thezdi) 23 Mart 2023
ZDI, “Bu yılki etkinlik, iki Tesla girişimi de dahil olmak üzere dokuz farklı hedefi hedefleyen 19 girişimiz olduğu için bazı heyecan verici araştırmalar vaat ediyor” dedi.
“Bu yılki etkinlik için, her raund tam bedel ödeyecek, yani tüm açıklardan yararlanma başarılı olursa, 1.000.000 USD’nin üzerinde ödül vereceğiz.”
Satıcılar, Pwn2Own sırasında demosu yapılan ve ifşa edilen sıfır gün güvenlik açıklarını, Trend Micro’nun Zero Day Initiative’in teknik ayrıntıları kamuya yayınlamasından önceki 90 gün içinde yamalamak zorundadır.
Pwn2Own Vancouver 2022’de güvenlik araştırmacıları, Tesla Model 3 Bilgi-Eğlence Sistemini hackledikten, altı kez Windows 11’i devre dışı bıraktıktan, üç Microsoft Teams’i sıfır gün gösterdikten ve Ubuntu Masaüstünü dört kez istismar ettikten sonra 1.155.000 $ kazandı.