Durante i primi due giorni del Pwn2Own 2023 in corso a Vancouver (Canada) sono caduti diversi software sotto i colpi dei partecipanti, tra cui Windows 11, macOS e Ubuntu. Un team di hacker ha inoltre eseguito con successo un attacco contro una Tesla Model 3. Ovviamente i dettagli delle vulnerabilità e gli exploit sono stati comunicati solo ai rispettivi produttori.
Pwn2Own 2023: giorno 1
Il Pwn2Own 2023 di Vancouver prevede premi per oltre un milione di dollari. Gli hacker devono riuscire ad eseguire l’attacco entro 10 minuti (massimo tre tentativi). Le categorie sono: virtualizzazione, browser, applicazioni enterprise, server, escalation locale di privilegi, comunicazioni enterprise e automotive. Durante il primo giorno (22 marzo) del contest erano previsti 8 tentativi.
Il primo a cadere è stato Adobe Reader. AbdulAziz Hariri di Haboob SA ha superato la protezione della sandbox sfruttando una catena di 6 vulnerabilità. Il premio è 50.000 dollari. STAR Labs ha invece guadagnato 130.000 dollari, grazie agli attacchi contro Microsoft SharePoint e Ubuntu. Altri 40.00 dollari sono andati a Bien Pham di Qrious Security per aver scritto un exploit che sfrutta vulnerabilità di Oracle VirtualBox.
Marcin Wiązowski ha effettuato un’escalation di privilegi su Windows 11, incassando 30.000 dollari. Un simile attacco è stato eseguito con successo contro macOS dal gruppo Synacktiv (40.000 dollari). Lo stesso team ha infine “affondato” il gateway di una Tesla Model 3, ottenendo come premi l’automobile e 100.000 dollari. Non ha invece funzionato l’exploit contro Ubuntu di last_minute_pwnie.
That wraps up the first day of #P2OVancouver 2023! We awarded $375,000 (and a Tesla Model 3!) for 12 zero-days during the first day of the contest. Stay tuned for day two of the contest tomorrow! #Pwn2Own pic.twitter.com/UTvzqxmi8E
— Zero Day Initiative (@thezdi) March 22, 2023
Pwn2Own 2023: giorno 2
I tentativi del secondo giorno erano cinque contro quattro bersagli. Tutti gli exploit sono stati eseguiti con successo. Sono caduti Oracle VirtualBox per mano di Synacktiv (80.000 dollari) e Team Viettel (40.000 dollari), Microsoft Teams per mano del Team Viettel (75.000 dollari) e Ubuntu per mano di Synacktiv (30.000 dollari).
Sempre il team Synacktiv ha infine guadagnato altri 250.000 dollari (e l’automobile) per aver sfruttato una vulnerabilità presente nel sistema di infotainment della Tesla Model 3.
That concludes Day 2 of #P2OVancouver – we awarded $475,000 for 10 unique zero-days today, bringing the total awarded to $850,000! Stay tuned tomorrow for the final day of the competition. #Pwn2Own pic.twitter.com/EtMnP4Ree5
— Zero Day Initiative (@thezdi) March 23, 2023
I target di oggi (ultimo giorno del contest) sono Ubuntu, Microsoft Teams, Windows 11 e VMware Workstation.
Aggiornamento (25/03/2023): durante l’ultimo giorno del contest sono stati eseguiti con successo cinque exploit su sei. Sono caduti Ubuntu per mano di Kyle Zeng (30.000 dollari), Mingi Cho (30.000 dollari) e Bien Pham (15.000 dollari), VMware Workstation per mano di STAR Labs (80.000 dollari) e Windows 11 per mano di Synacktiv (30.000 dollari). STAR Labs non ha invece completato l’exploit per Microsoft Teams entro il tempo stabilito. Questa è la classifica finale:
That’s a wrap for #P2OVancouver! Contestants disclosed 27 unique 0-days and won a combined $1,035,000 (and a car)! Congratulations to the Masters of Pwn, @Synacktiv, for their huge success and hard work! They earned 53 points, $530,000, and a Tesla Model 3. #Pwn2Own pic.twitter.com/xtd0cdjGC3
— Zero Day Initiative (@thezdi) March 24, 2023