Microsoft Teams, Virtualbox, dan Tesla semuanya telah dieksploitasi di Pwn2Own

Selama Hari 2 Pwn2Own Vancouver 2023, para pesaing diberikan $475.000 setelah berhasil mengeksploitasi 10 hari nol di beberapa produk.

Sasaran yang diretas termasuk Tesla Model 3, platform komunikasi Tim Microsoft, platform virtual Oracle VirtualBox, dan sistem operasi Desktop Ubuntu.

Sorotan hari kedua adalah upaya sukses dari David Berard dari Synacktiv (@_p0ly_) dan Vincent Dehors (@karyawan) melawan Tesla – akar dari infotainment tanpa hambatan.

Ini memberi mereka $ 250.000 dan memungkinkan mereka mendapatkan Tesla Model 3 setelah meretas melalui tumpukan luapan dan menulis string eksploit OOB.

Thomas Imbert dari Synacktiv (@karyawan) dan Thomas Boozer (@karyawan) juga berhasil mengeksploitasi serangkaian tiga kesalahan eskalasi hak istimewa pada host Oracle VirtualBox untuk menghasilkan $80.000.

Pada upaya ketiga dari Synacktiv, Tanguy Dubroca (@karyawan) dianugerahi $30.000 untuk demonstrasi benchmark zero-day yang salah yang mengakibatkan eskalasi hak istimewa di desktop Ubuntu.

Tim Vettel (@karyawan) juga meretas Microsoft Teams melalui bug Seri 2 untuk mendapatkan $78.000 dan VirtualBox Oracle dengan bug use-after-free (UAF) dan variabel yang tidak diinisialisasi seharga $40.000.

Pada Hari 1, pesaing Pwn2Own dianugerahi $375.000 dan mobil Tesla Model 3 setelah berhasil melakukan 12 Zero Days di Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox, dan macOS.

Pada hari terakhir kompetisi, peneliti keamanan akan mencoba mengeksploitasi zero-day di Ubuntu Desktop, Microsoft Teams, Windows 11, dan VMware Workstation.

Pwn2Own Vancouver 2023 Kontestan dapat memenangkan uang tunai $1.080.000 dan dua mobil Tesla Model 3 antara tanggal 22 Maret dan 24 Maret.

Peneliti Produk akan menjadi sasaran dari beberapa kategori selama kompetisi, termasuk Aplikasi Perusahaan, Komunikasi Perusahaan, Server, Virtualisasi, Otomotif, dan Eskalasi Privilege Lokal (EoP).

“Acara tahun ini menjanjikan beberapa penelitian menarik karena kami memiliki 19 entri yang menargetkan sembilan target berbeda – termasuk dua percobaan Tesla,” kata ZDI.

“Untuk acara tahun ini, setiap putaran akan membayar harga penuh, yang berarti jika semua eksploitasi berhasil, kami akan menghadiahkan lebih dari $1.000.000 USD.”

Vendor harus menambal kerentanan zero-day yang teruji dan mengungkapkannya melalui Pwn2Own dalam waktu 90 hari sebelum Zero Day Initiative dari Trend Micro merilis detail teknis kepada publik.

Di Pwn2Own Vancouver 2022, peneliti keamanan memperoleh $1.155.000 setelah Tesla Model 3 Infotainment System diretas, merusak Windows 11 enam kali, menampilkan tiga Microsoft Teams nol hari, dan mengeksploitasi Desktop Ubuntu empat kali.