Pwn2Own 2023’te katılımcılar, başarılı istismarlar için her turda tam bir ödülle (1.000.000 $’dan fazla) ödüllendirildi.
Pwn2Own, bildiğimiz gibi, siber güvenlik endüstrisine çeşitli avantajlar sunan yıllık bir bilgisayar korsanlığı yarışmasıdır. 22-24 Mart 2023 tarihleri arasında Vancouver’da düzenlenen bu yılki Pwn2Own 2023’te, Tesla arabaları da dahil olmak üzere dokuz farklı platformu hedeflemeyi amaçlayan etkinliğin yaklaşık 19 katılımcısı yer aldı.
Bu sefer, katılımcılara başarılı istismarlar için her turda tam bir ödül (1.000.000 $’dan fazla) verildi.
Üç günlük etkinlik sırasında yarışmacılar 27 benzersiz sıfır gün ortaya çıkardılar ve toplamda 1.035.000 $ ve bir Tesla kazandılar. Synacktiv Takımı en çok puanı (53 puan) kazandı ve Masters of Pwn ilan edildi. 530.000 $, 25.000 $ bonus, 2024 Pwn2Own’da Platin statüsü ve bir Tesla Model 3 aldılar. İşte her gün açıklanan güvenlik açıklarının öne çıkanları.
1. Gün Önemli Noktalar:
1. günde, Haboon SA’dan AbdulAziz Hariri (@abdhariri), Adobe Reader’a saldırmak için 6 hatadan oluşan bir mantık zinciri kullandı ve korumalı alandan kaçan ve yasaklı bir API listesini atlayan çok sayıda başarısız yamadan başarıyla yararlandı. Bu girişim için Hariri, 50.000 $ ve beş Master of Pwn puanı uyardı.
STAR Labs, Microsoft SharePoint’i hedefleyen 2 hata zincirini başarıyla yürüttü ve on Master of Pwn puanıyla 100.000 $ kazandı. Team STAR Labs ayrıca Ubuntu Masaüstüne yönelik bir saldırıyı da başarıyla gerçekleştirdi. Ancak bu, 15.000 $ ve 1,5 puan kazandıkları bilinen bir istismardı.
Qrious Security’den Bien Pham (@bienpnn), yığın tabanlı arabellek taşmasına sahip bir OOB Okuma kullanarak Oracle VirtualBox’tan başarıyla yararlandı ve 4 Master of Pwn puanıyla 40.000 $ kazandı.
Synacktiv (@Synacktiv), Tesla – Gateway’e karşı bir TOCTOU saldırısını başarıyla gerçekleştirdi ve on Master of Pwn puanı, bir Tesla Model 3 ve 100.000 $ kazandı.
Marcin Wiązowski, uygunsuz bir giriş doğrulama hatası kullanarak Windows 11’de yükseltilmiş ayrıcalıklar elde etmeyi başardı ve 3 Master of Pwn puanıyla 30.000 $ ödül aldı.
2. Gün Önemli Noktalar:
2. günde, Synacktiv ekibinden Thomas Imbert ve Thomas Bouzerar, Host EoP ile Oracle VirtualBox’ı hedefleyen 3 hata zincirini başarıyla gösterdi. Ancak, hata daha önce bilindiği için 80.000 $ ve sekiz Master of Pwn puanı kazandılar.
Bir başka başarılı istismar Team Synacktiv’den David Berard ve Vincent Dehors’tan geldi; Tesla-Infotainment Unconfined Root’u bir yığın taşması ve bir OOB yazma yoluyla kullandılar.
İkili, 25 Master of Pwn puanı, bir Tier 2 ödülü ve 250.000 $ ödül almaya hak kazandı. Team Synacktiv’in bir başka başarısı da Tanguy Dubroca’dan Ubuntu Masaüstünde yanlış bir işaretçi ölçeklemesi kullanarak ayrıcalık yükseltme elde etmesinden geldi. Takım 30.000$ ve 3 Master of Pwn puanı kazandı.
İkinci gün Team Viettel, Microsoft Teams’i hedeflemek için 2 hata zinciri kullandı ve 75.000 $ ödülle sekiz Master of Pwn puanı kazandı. Viettel Ekibi ayrıca Oracle VirtualBox’tan UAF hatası olan başlatılmamış bir değişken kullanarak başarıyla yararlandı ve dört Master of Pwn puanıyla 40.000$ kazandı.
3. Gün Önemli Noktalar:
3. gündeASU SEFCOM’dan Kyle Zeng, Ubuntu Desktop’ı çift ücretsiz bir hata kullanarak istismar etti ve üç Master of Pwn puanı ile 30.000 $ kazandı.
Synacktiv’den Thomas Imbert, bir UAF kullanarak Microsoft Windows 11’den yararlandı. Imbert, üç Master of Pwn puanı ve 30.000 $ kazandı. Theori’den Mingi Cho, Ubuntu Masaüstünü hedeflemek için bir UAF da kullandı. Chio, 30.000 $ ödül ve üç Master of Pwn puanı kazandı.
Son olarak STAR Labs, başlatılmamış bir değişken ve UAF kullanarak VMWare İş İstasyonunu hedef aldı. Sekiz Master of Pwn puanı ve 80.000 $ kazandılar.
Pwn2Own – Siber güvenlik için iyi
Pwn2Own gibi bir girişim, güvenlik araştırmacılarının becerilerini sergilemeleri ve yaygın olarak kullanılan yazılım ve işletim sistemlerindeki güvenlik açıklarını belirlemeleri için bir platform sağlar. Bunu yaparak, yarışma daha önce keşfedilmemiş olabilecek zayıflıkların belirlenmesine yardımcı olarak satıcıların düzeltmeler geliştirmesine ve ürünlerinin güvenliğini artırmasına olanak tanır.
Pwn2Own’un bir başka avantajı da, araştırmacıları güvenlik açıklarını karaborsada satmak veya kötü amaçla kullanmak yerine sorumlu bir şekilde bulup raporlamaya teşvik etmesidir. Yarışma, güvenlik açıklarından başarılı bir şekilde yararlanan araştırmacıları ödüllendiriyor ve bulgularını ilgili satıcılara açıklamaya teşvik ediyor, onlar da sorunları çözebilir ve ürünlerinin güvenliğini artırabilir.
Son olarak, Pwn2Own, siber güvenliğin önemi ve yazılım ve sistemlerin güvenliğinde sürekli iyileştirme ihtiyacı konusunda farkındalık yaratmaya yardımcı olur. Riskleri vurgulayarak ve siber saldırıların olası sonuçlarıYarışma, bireyleri ve kuruluşları güvenliği ciddiye almaya ve kendilerini potansiyel tehditlere karşı korumak için önlemler almaya teşvik ediyor.
ALAKALI HABERLER
- DHS’yi Hackleyin ve 5.000 Dolarlık Bug Ödül Kazanın
- En İyi Kripto Hata Ödül Programlarından 6’sı
- Pentagon 3.0’ı Hackleyin: Hata Ödül Programı
- Hata ödülü: Model 3’ü kazanmak için Tesla Model 3’ü hackleyin
- DefCon Jaik’teki Hacker Doom Oynamak İçin Traktörü Kırdı