Pwn2Own Vancouver 2023’ün ilk gününde, güvenlik araştırmacıları Tesla Model 3, Windows 11 ve macOS sıfır gün açıklarından yararlanma ve yararlanma zincirlerini başarılı bir şekilde tanıttı.
Kurumsal uygulamalar kategorisinde Haboob SA’dan Abdul Aziz Hariri’nin ardından ilk düşen Adobe Reader oldu (@abdhariri), korumalı alandan kaçan ve macOS’ta yasaklı bir API listesini atlayarak 50.000 ABD doları kazanan birden fazla başarısız yamayı kötüye kullanan 6 hatalık bir mantık zincirini hedefleyen bir istismar zinciri kullandı.
STAR Labs ekibi (@starlabs_sg) Microsoft’un SharePoint ekip işbirliği platformunu hedef alan ve onlara 100.000 ABD Doları ödül getiren sıfır günlük bir açıklardan yararlanma zincirinin tanıtımını yaptı ve önceden bilinen 15.000 ABD Doları değerindeki bir açıktan yararlanma yöntemiyle Ubuntu Masaüstünü başarıyla hackledi.
sinaktif (@Synactive), Otomotiv kategorisinde Tesla – Ağ Geçidine karşı bir TOCTOU (kullanım süresi kontrolünden kullanım süresi) saldırısını başarıyla gerçekleştirdikten sonra eve 100.000 $ ve bir Tesla Model 3 aldı. Ayrıca, Apple macOS’ta ayrıcalıkları yükseltmek için bir TOCTOU sıfır gün güvenlik açığı kullandılar ve 40.000 $ kazandılar.
Oracle VirtualBox, Qrious Security’den Bien Pham tarafından bir OOB Okuması ve yığın tabanlı arabellek taşması istismar zinciri (40.000 $ değerinde) kullanılarak saldırıya uğradı (@bienpnn).
Son olarak Marcin Wiązowski, 30.000 $’lık bir ödülle gelen sıfırıncı gün giriş doğrulamasını kullanarak Windows 11’de ayrıcalıkları yükseltti.
Pwn2Own Vancouver 2023 yarışması boyunca güvenlik araştırmacıları, kurumsal uygulamalar, kurumsal iletişim, yerel ayrıcalık yükseltme (EoP), sunucu, sanallaştırma ve otomotiv kategorilerindeki ürünleri hedefleyecek.
İkinci gün, Pwn2Own rakipleri Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root ve Ubuntu Desktop’ı hedef alan sıfır gün istismarlarını gösterecek.
Yarışmanın son gününde güvenlik araştırmacıları yine Ubuntu Desktop üzerinde hedeflerini belirleyerek Microsoft Teams, Windows 11 ve VMware Workstation’ı hacklemeye çalışacaklar.
22 Mart ile 24 Mart arasında, yarışmacılar 1.080.000 $ nakit para ve bir Tesla Model 3 arabası da dahil olmak üzere ödüller kazanabilir. Bir Tesla’yı hacklemenin en büyük ödülü şimdi 150.000 dolar ve arabanın kendisi.
Pwn2Own sırasında sıfır gün güvenlik açıklarının demosu yapıldıktan ve ifşa edildikten sonra, satıcıların Trend Micro’nun Zero Day Initiative tarafından kamuya ifşa edilmesinden önce bildirilen tüm kusurlar için güvenlik düzeltmeleri oluşturması ve yayınlaması için 90 günü vardır.
Geçen yılki Vancouver Pwn2Own yarışmasında güvenlik araştırmacıları, Windows 11’i altı kez, Ubuntu Desktop’ı dört kez hackledikten ve üç Microsoft Teams sıfır gününü başarıyla gösterdikten sonra 1.155.000 $ kazandı.
Ayrıca Apple Safari, Oracle Virtualbox ve Mozilla Firefox’ta birkaç sıfır gün bildirdiler ve Tesla Model 3 Bilgi-Eğlence Sistemini hacklediler.