Prvi dan Pwn2Own Berlin 2025 završio se s praskom, jer su hakeri predstavili 11 pokušaja iskorištavanja, uključujući napade usmjerene na vještačku inteligenciju, te osvojili nagrade od 260.000 dolara.
Takmičenje Pwn2Own, poznato po pomjeranju granica sajber sigurnosti, svjedočilo je uspješnim probojima Windowsa 11 , Red Hat Linuxa, Oracle VirtualBoxa i Docker Desktopa, uz prvu pobjedu u kategoriji umjetne inteligencije u historiji Pwn2Own-a.
STAR Labs je rano preuzeo vodstvo u utrci za Master of Pwn, ali s obzirom na to da predstoje novi izazovi, titula je i dalje neizvjesna.
Najvažniji događaji 1. dana: Kompromitovani glavni sistemi
Rezultati na kraju prvog dana , nekoliko proizvoda je iskorišteno sa zero-days aktivnostima na sljedeći način.
Red Hat Linux dvostruko podbacio : Pumpkin ( @u1f383 ) iz istraživačkog tima DEVCORE iskoristio je prekoračenje cijelog broja kako bi eskalirao privilegije, zaradivši 20.000 dolara i 2 Master of Pwn boda.
U međuvremenu, Hyunwoo Kim (@V4bel) i Wongi Lee (@_qwerty_po) iz Theorija iskoristili su curenje informacija i grešku “use-after-free” (UAF) za eskalaciju roota, ali poznata greška od N dana dovela je do sudara, donijevši im 15.000 dolara i 1,5 Master of Pwn bodova.
Višestruki proboji u Windows 11 : Chen Le Qi (@cplearns2h4ck) iz STAR Labs SG kombinovao je UAF i prekoračenje cijelog broja kako bi eskalirao do SYSTEM-a, osiguravši 30.000 dolara i 3 Master of Pwn boda.
Marcin Wiązowski je besprijekorno izveo iskorištavanje pisanja izvan granica za još jednu ESKLACIJE SYSTEMA, također zaradivši 30.000 dolara i 3 boda. Hyeonjin Choi (@d4m0n_8) iz Out Of Bounds je suzbio napade na Windows 11 greškom koja je uzrokovala konfuziju tipova, osvojivši 15.000 dolara i 3 Master of Pwn boda.
Oracle VirtualBox Escape : Team Prison Break (Best of the Best 13.) je koristio prekoračenje cijelog broja da bi se probio iz Oracle VirtualBoxa i izvršio kod na host operativnom sistemu, zaradivši 40.000 dolara i 4 Master of Pwn boda.
Hakiran Docker Desktop : Billy i Ramdhan iz STAR Labsa izvršili su UAF u Linux kernelu kako bi pobjegli iz Docker Desktopa i pokrenuli kod na osnovnom operativnom sistemu, zaradivši najveću nagradu dana od 60.000 dolara i 6 Master of Pwn bodova.
Istorijski iskorištavanje vještačke inteligencije krade predstavu
U prvom Pwn2Own meču, Sina Kheirkhah (@SinSinology) iz Summoning Teama uspješno je iskoristila Chroma tehnologiju u novoj AI kategoriji, zaradivši 20.000 dolara i 2 Master of Pwn boda. Ovo značajno dostignuće naglašava rastući fokus na sigurnost AI sistema, jer vještačka inteligencija postaje sastavni dio moderne tehnologije.
NVIDIA Triton Collisions Spark diskusija
NVIDIA Triton Inference Server je imao više pokušaja iskorištavanja, ali svi su rezultovali sudarima zbog poznatih grešaka.
Sina Kheirkhah (@SinSinology) iz Summoning Team-a i Viettel Cyber Security (@vcslab) su demonstrirali uspješne ranjivosti, svaki od njih zaradivši 15.000 dolara i 1,5 Master of Pwn bodova uprkos prethodnom znanju proizvođača o ranjivostima. Međutim, Wiz Research nije uspio osposobiti svoj Triton exploit u predviđenom roku.
S obzirom na to da STAR Labs predvodi Master of Pwn rang listu, očekivanja za 2. dan su velika jer se sve više istraživača fokusira na Microsoft, AI sisteme i druge platforme.
Sudari na NVIDIA Tritonu naglašavaju izazov zakrpanja poznatih ranjivosti prije nego što budu iskorištene, dok debi AI kategorije signalizira novu granicu u sajber sigurnosti.
Izvor: CyberSecurityNews
