Hackers ganan más de 1 millón de dólares durante 58 días cero en Pwn2Own Toronto

Iniciado por AXCESS, Octubre 28, 2023, 11:37:59 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 28, 2023, 11:37:59 PM Ultima modificación: Octubre 28, 2023, 11:39:36 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La competencia de piratería Pwn2Own Toronto 2023 finalizó y los investigadores de seguridad ganaron $ 1,038,500 por 58 exploits de día cero (y múltiples colisiones de errores) dirigidos a productos de consumo entre el 24 y el 27 de octubre.

Durante el evento de piratería Pwn2Own Toronto 2023 organizado por la Iniciativa de Día Cero (ZDI) de Trend Micro, los investigadores de seguridad se centraron en dispositivos móviles y de IoT.

La lista completa incluye teléfonos móviles (es decir, Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 y Xiaomi 13 Pro), impresoras, enrutadores inalámbricos, dispositivos de almacenamiento conectado a la red (NAS), centros de automatización del hogar, sistemas de vigilancia, dispositivos inteligentes. parlantes y dispositivos Pixel Watch y Chromecast de Google, todos en su configuración predeterminada y ejecutando las últimas actualizaciones de seguridad.

Si bien ningún equipo se registró para piratear los teléfonos inteligentes Apple iPhone 14 y Google Pixel 7, los concursantes piratearon un Samsung Galaxy S23 completamente parcheado cuatro veces.

El equipo de Pentest Limited fue el primero en hacer una demostración de día cero en el Samsung Galaxy S23, aprovechando la debilidad de la validación de entrada incorrecta para obtener la ejecución del código, ganando $50 000 y 5 puntos Master of Pwn.

El equipo de STAR Labs SG también aprovechó una lista permisiva de entradas permitidas para piratear el buque insignia de Samsung el primer día, ganando 25.000 dólares (la mitad del premio por la segunda ronda de apuntar al mismo dispositivo) y 5 puntos Master of Pwn.

Los investigadores de seguridad de Interrupt Labs y el equipo de ToChim también piratearon el Galaxy S22 en el segundo día de la competencia explotando una lista permisiva de entradas permitidas y otra debilidad de validación de entradas incorrectas.

Clasificación final de Pwn2Own Toronto 2023 (ZDI)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El equipo Viettel ganó la competencia, ganando $180,000 y 30 puntos Master of Pwn. Les siguen en la clasificación Team Orca of Sea Security con $116,250 (17.25 puntos) y DEVCORE Intern e Interrupt Labs (cada uno con $50,000 y 10 puntos).

Los investigadores de seguridad han demostrado con éxito exploits dirigidos a 58 días cero en dispositivos de múltiples proveedores, incluidos Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark y HP.

Una vez que se informan las vulnerabilidades de día cero explotadas durante el evento Pwn2Own, los proveedores tienen 120 días para lanzar parches antes de que ZDI los divulgue públicamente.

En marzo, durante la competencia Pwn2Own Vancouver 2023, los competidores ganaron $1,035,000 y un automóvil Tesla Model 3 por 27 días cero (y varias colisiones de errores).

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario