Pwn2Own’un son gününde Windows, Ubuntu ve VMWare Workstation hacklendi


Pwn2Own Vancouver

Pwn2Own bilgisayar korsanlığı yarışmasının üçüncü gününde, güvenlik araştırmacılarına Windows 11, Ubuntu Desktop ve VMware Workstation sanallaştırma yazılımını hedef alan 5 sıfır gün açığını gösterdikten sonra 185.000 $ ödül verildi.

Günün en önemli olayı, Ubuntu Masaüstü işletim sisteminin üç farklı ekip tarafından üç kez saldırıya uğramasıydı, ancak bunlardan biri daha önce bilinen açıktan yararlanma ile bir çarpışmaydı.

Sıfır gün çalışan üç Ubuntu, ASU SEFCOM’dan Kyle Zeng (çift ücretsiz hata), Theori’den Mingi Cho (Ücretsiz Kullanım güvenlik açığı) ve Bien Pham (@bienpnn) Qrous Security’den.

İlk ikisinin her biri sıfır gün istismarları için 30.000 $ ödül alırken, Pham bir hata çakışması nedeniyle yalnızca 15.000 $ kazandı.

Tamamen yamalı bir Windows 11 sistemi, Pwn2Own’da Thomas Imbert (@masthoon) Synacktiv’den (@Synacktiv) bir Use-After-Free (UAF) hatası için 30.000 $ kazanıyor.

Son olarak, STAR Laboratuvarları (@starlabs_sg) ekibi, 80.000 $’lık bir ödül için VMWare Workstation’a karşı başlatılmamış bir değişken ve UAF açıklardan yararlanma zinciri kullandı.

Pwn2Own Vancouver 2023 yarışmacıları ilk gün Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox ve macOS’ta 12 sıfır gün demosu yaptıktan sonra 375.000 $ ve bir Tesla Model 3 kazandı.

İkinci gün boyunca, Windows 11, Tesla, Ubuntu ve macOS dahil olmak üzere birden fazla üründe 10 sıfır gün kullanan yarışmacılara 475.000 $ ödül verildi.

Bu, toplamı 1.035.000 $’a getiriyor ve bu yılki Pwn2Own Vancouver 2023 yarışmasının üç günü boyunca 27 sıfır gün istismarı için ödüllendirilen bir arabanın tanıtımı yapıldı.

Yarışmanın kazananları, başarılarından dolayı 530.000 $ ve bir Tesla Model 3 araba kazanan Synacktiv’dir.

Pwn2Own Vancouver 2023’te güvenlik araştırmacıları, otomotiv, kurumsal uygulamalar ve iletişim, sunucular, sanallaştırma ve yerel ayrıcalık yükseltme (EoP) dahil olmak üzere birden çok kategorideki yazılımları hedef aldı.

“Bu yılki etkinlik için her raund tam bedel ödeyecek, yani tüm istismarlar başarılı olursa 1.000.000 USD’nin üzerinde ödül vereceğiz” dedi.

Satıcıların, Trend Micro’nun Sıfır Gün Girişimi teknik ayrıntıları kamuya açıklamadan önce, Pwn2Own sırasında demosu yapılan ve açıklanan sıfır gün hatalarını düzeltmeleri için 90 günleri vardır.

Geçen yılki Pwn2Own Vancouver bilgisayar korsanlığı yarışmasında araştırmacılar, Tesla Model 3 Bilgi-Eğlence Sistemini hackledikten ve Windows 11, Microsoft Teams ve Ubuntu Desktop’ı birden çok sıfır gün hatası ve istismar zinciri kullanarak çökerttikten sonra 1.155.000 $ ödül aldı.





Source link