Concurso Pwn2Own 2023 reparte un millón de dólares y un Tesla

Iniciado por AXCESS, Marzo 26, 2023, 04:51:47 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En el primer día de concurso Pwn2Own Vancouver 2023, los investigadores de seguridad demostraron con éxito los exploits Zero-Day de Tesla Model 3, Windows 11 y macOS y las cadenas de exploits para ganar U$S 375.000 y un Tesla Model 3.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El primero en caer fue Adobe Reader en la categoría de aplicaciones empresariales después de que Abdul Aziz Hariri (@abdhariri) de Haboob SA usó una cadena de exploits dirigida a una cadena lógica de 6 errores que abusaba de múltiples parches fallidos que escaparon del Sandbox y pasaron por alto una lista de API prohibidas en macOS para gana U$S 50.000.

El equipo de STAR Labs (@starlabs_sg) realizó una demostración de una cadena de exploits Zero-Day dirigida a la plataforma de colaboración en equipo de SharePoint de Microsoft que les brindó una recompensa de U$S 100.000 y logró hackear Ubuntu Desktop con un exploit previamente conocido por U$S 15.000.

Synacktiv (@Synacktiv) se llevó a casa U$S 100.000 y un Tesla Model 3 después de ejecutar con éxito un ataque TOCTOU (tiempo de verificación a tiempo de uso) contra Tesla - Gateway en la categoría Automotriz. También utilizaron una vulnerabilidad de día cero de TOCTOU para aumentar los privilegios en Apple macOS y ganaron U$S 40.000.

Oracle VirtualBox fue hackeado usando una lectura OOB y una cadena de exploits de desbordamiento de búfer basada en pilas (con un valor de U$S 40.000) por Bien Pham (@bienpnn) de Qrious Security.

Por último, pero no menos importante, Marcin Wiązowski elevó los privilegios en Windows 11 mediante una validación de entrada incorrecta Zero-Day que tuvo un premio de U$S 30.000.

En el segundo día, los competidores de Pwn2Own demostrarán exploits Zero-Day dirigidos a Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root y Ubuntu Desktop.

El último día del concurso, los investigadores volverán a establecer sus objetivos en Ubuntu Desktop e intentarán hackear Microsoft Teams, Windows 11 y VMware Workstation.

Entre el 22 y el 24 de marzo, los concursantes pueden ganar U$S 1.080.000 en efectivo y premios, incluido un auto Tesla Model 3. El premio máximo por hackear un Tesla ahora es de U$S 150.000 y el automóvil en sí.

Después de que las vulnerabilidades de día cero se demuestren y divulguen durante Pwn2Own, los proveedores tienen 90 días para crear y publicar correcciones de seguridad para todas las fallas informadas antes de que Zero Day Initiative de Trend Micro las divulgue públicamente.

Durante el concurso Vancouver Pwn2Own del año pasado, los investigadores de seguridad ganaron U$S 1.155.000 después de hackear Windows 11 seis veces, Ubuntu Desktop cuatro veces y demostrar con éxito tres Microsoft Teams Zero-Day.

También informaron varios Zero-Day en Apple Safari, Oracle Virtualbox y Mozilla Firefox y hackearon el sistema de información y entretenimiento Tesla Model 3.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta