Am ersten Tag von Pwn2Own Vancouver 2023 demonstrierten Sicherheitsforscher erfolgreich Zero-Day-Exploits und Exploit-Ketten von Tesla Model 3, Windows 11 und macOS.
Der erste Absteiger war Adobe Reader in der Kategorie Unternehmensanwendungen nach Abdul Aziz Hariri von Haboob SA (@abdhariri) nutzte eine Exploit-Kette, die auf eine 6-Bug-Logikkette abzielte und mehrere fehlgeschlagene Patches missbrauchte, die der Sandbox entkamen, und eine gesperrte API-Liste auf macOS umging, um 50.000 US-Dollar zu verdienen.
Das STAR Labs-Team (@starlabs_sg) demonstrierten eine Zero-Day-Exploit-Kette, die auf Microsofts SharePoint-Teamkollaborationsplattform abzielte, die ihnen eine Belohnung von 100.000 US-Dollar einbrachte, und hackten erfolgreich Ubuntu Desktop mit einem zuvor bekannten Exploit für 15.000 US-Dollar.
Synaktiv (@Synacktiv) nahm 100.000 US-Dollar und ein Tesla Model 3 mit nach Hause, nachdem sie erfolgreich einen TOCTOU-Angriff (Time-of-Check-to-Time-of-Use) gegen das Tesla-Gateway in der Kategorie Automotive durchgeführt hatte. Sie nutzten auch eine TOCTOU-Zero-Day-Schwachstelle, um Berechtigungen auf Apple macOS zu eskalieren, und verdienten 40.000 US-Dollar.
Oracle VirtualBox wurde von Bien Pham von Qrious Security mit einem OOB-Lesevorgang und einer stapelbasierten Pufferüberlauf-Exploit-Kette (im Wert von 40.000 US-Dollar) gehackt (@bienpnn).
Zu guter Letzt erhöhte Marcin Wiązowski die Privilegien unter Windows 11 mit einer unsachgemäßen Zero-Day-Eingabevalidierung, die mit einem Preisgeld von 30.000 US-Dollar verbunden war.
Während des gesamten Pwn2Own Vancouver 2023-WettbewerbSicherheitsforscher wird auf Produkte abzielen in den Kategorien Unternehmensanwendungen, Unternehmenskommunikation, lokale Rechteerweiterung (EoP), Server, Virtualisierung und Automotive.
Am zweiten Tag werden Pwn2Own-Konkurrenten Zero-Day-Exploits demonstrieren, die auf Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root und Ubuntu Desktop abzielen.
Am letzten Tag des Wettbewerbs werden Sicherheitsforscher ihre Ziele erneut auf Ubuntu Desktop setzen und versuchen, Microsoft Teams, Windows 11 und VMware Workstation zu hacken.
Zwischen dem 22. und 24. März können die Teilnehmer 1.080.000 US-Dollar in bar und Preisen verdienen, darunter ein Tesla Model 3 Auto. Die höchste Auszeichnung für das Hacken eines Tesla beträgt jetzt 150.000 US-Dollar und das Auto selbst.
Nachdem Zero-Day-Schwachstellen während Pwn2Own vorgeführt und offengelegt wurden, haben Anbieter 90 Tage Zeit, Sicherheitsfixes für alle gemeldeten Fehler zu erstellen und freizugeben, bevor die Zero-Day-Initiative von Trend Micro sie öffentlich bekannt gibt.
Während des letztjährigen Pwn2Own-Wettbewerbs in Vancouver verdienten Sicherheitsforscher 1.155.000 US-Dollar, nachdem sie Windows 11 sechsmal und Ubuntu Desktop viermal gehackt und drei Zero-Days von Microsoft Teams erfolgreich demonstriert hatten.
Sie berichteten auch über mehrere Zero-Days in Apple Safari, Oracle Virtualbox und Mozilla Firefox und hackten das Tesla Model 3 Infotainment System.
