İlk gün, Pwn2Own Vancouver 2023 bilgisayar korsanlığı yarışması katılımcıları Windows 11, Tesla, macOS ve Ubuntu Desktop’ı ele geçirdi.
Adobe Reader’a yönelik saldırısını, korumalı alandan kaçan ve yasaklı bir API listesini aşan birçok başarısız düzeltmeden yararlanan 6 hatalık bir mantık zinciri kullanarak tamamlayan Haboob SA’dan AbdulAziz Hariri, günün ilk gösterimini yaptı. Kendisine 5 Master of Pwn puanı ve 50.000$ verilir.
Microsoft SharePoint, STAR Labs’in çalıştırabildiği 2 hata zincirinin hedefiydi. 10 Master of Pwn puanı ve 100.000 $ alırlar.
Oracle VirtualBox, Qrious Security’den (@qriousec) Bien Pham (@bienpnn) tarafından bir OOB Okuma ve yığın tabanlı bir arabellek taşması yoluyla istismar edildi. Kendisine 4 Master of Pwn puanı ve 40.000 $ verilir.
Tesla – Ağ Geçidi, Synacktiv (@Synacktiv) tarafından yapılan bir TOCTOU saldırısının hedefiydi. Tesla Model 3 ve 100.000 $ ve 10 Master of Pwn puanı alırlar.
İstismarın zaten bilinmesine rağmen, STAR Labs (@starlabs sg) Ubuntu Masaüstüne yönelik saldırısında başarılı oldu. 1.5 Master of Pwn puanına ek olarak hala 15.000 $ alıyorlar.
Marcin Wizowski, Windows 11’de ayrıcalıkları yükseltmek için uygunsuz bir giriş doğrulama hatası kullandı. 30.000$ ve 3 Master of Pwn puanı aldı.
Synacktiv (@Synacktiv), bir TOCTOU hatasından yararlanarak Apple macOS’ta ayrıcalıkları artırdı. 40.000 $ ve 4 Master of Pwn puanı alırlar.
Bugün bir Tesla saldırısı ve bir SharePoint RCE dahil toplam sekiz deneme. Tüm benzersiz kazanan girişlere, bu yılki yarışma için tam para ödülü verilecektir.
Sonuç olarak, bilgisayar korsanları yarışmanın ilk gününde 12 sıfır-gün açığı için 375.000$ (Tesla Model 3 ile birlikte!) aldı.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
Önceki Kapsam