Site icon Kiber.ba

Windows 11, Tesla i Ubuntu Linux hakovani u Pwn2Own Vancouveru

Windows 11, Tesla i Ubuntu Linux hakovani u Pwn2Own Vancouveru - Kiber.ba

Windows 11, Tesla i Ubuntu Linux hakovani u Pwn2Own Vancouveru - Kiber.ba

Prvog dana Pwn2Own Vancouver 2024, takmičari su demonstrirali 19 ranjivosti nultog dana u Windows 11, Tesli, Ubuntu Linuxu i drugim uređajima i softveru kako bi osvojili 732.500 dolara i automobil Tesla Model 3.

Takmičenje je počelo tako što je Abdul Aziz Hariri iz Haboob SA koristio Adobe Reader exploit koji je kombinovao zaobilaženje ograničenja API-ja i bug za ubrizgavanje komande kako bi dobio izvršenje koda na macOS-u i zaradio 50.000 dolara.

Synacktiv je osvojio Tesla Model 3 i 200.000 dolara nakon što je hakovao Tesla ECU sa Vehicle (VEH) CAN BUS Control za manje od 30 sekundi koristeći integer overflow.

Istraživači sigurnosti Theori Gwangun Jung i Junoh Lee zaradili su 130.000 dolara nakon što su izašli iz VMware Workstation VM-a kako bi izvršili kod kao SISTEM na Windows OS hostu koristeći lanac koji cilja neinicijaliziranu promjenljivu grešku, slabost UAF-a i heap-based buffer overflow.

Bruno PUJOS i Corentin BAYET iz kompanije Reverse Tactics prikupili su 90.000 dolara iskorištavanjem dvije greške u Oracle VirtualBox-u i Windows UAF-a da izađu iz VM-a i podignu privilegije na SYSTEM.

Prvi dan takmičenja je završio tako što je Manfred Paul hakovao Apple Safari, Google Chrome i Microsoft Edge web pretraživače, iskoristivši tri ranjivosti nultog dana i osvojio 102,500 dolara.

Ostali pokušaji od prvog dana Pwn2Own uključuju:

Nakon što se nulti dani demonstriraju na Pwn2Own, dobavljači imaju 90 dana da kreiraju i objave sigurnosne zakrpe za sve prijavljene nedostatke prije nego što ih Trend Micro-ova Zero Day Initiative objavi javno.

Tokom Pwn2Own Vancouver 2024, istraživači sigurnosti će ciljati na potpuno zakrpljene proizvode u web pretraživaču, cloud-native/kontejneru, virtuelizaciji, poslovnim aplikacijama, serveru, lokalnoj eskalaciji privilegija (EoP), poslovnim komunikacijama i automobilskim kategorijama.

Drugog dana, Pwn2Own konkurenti će pokušati da iskoriste greške nultog dana u Windows 11, VMware Workstation, Oracle VirtualBox, Mozilla Firefox, Ubuntu Desktop, Google Chrome, Docker Desktop i Microsoft Edge.

Nakon dva dana hakerskog takmičenja, hakeri mogu zaraditi preko 1.300.000 dolara, uključujući i automobil Tesla Model 3. Najveća nagrada za hakovanje Tesle sada iznosi 150.000 dolara i sam automobil.

Takmičari mogu osvojiti maksimalnu nagradu od 500.000 dolara i automobil Tesla Model 3 za eksploataciju koja daje potpunu daljinsku kontrolu s neograničenim root-om kada ciljaju na Tesla autopilot.

Koristeći ranjivost Windows kernela, oni također mogu dobiti nagradu od 300.000 dolara za uspješno izbjegavanje Hyper-V klijenta gost-host i eskalaciju privilegija na host OS-u.

Tokom prošlogodišnjeg Vancouver Pwn2Own, na kojem je pobijedio Team Synacktiv, hakeri su zaradili 1.035.000 dolara i Tesla automobil za 27 nultih dana (i nekoliko sudara grešaka) u Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, O i Teslinom modelu 3.

​Synacktiv je takođe hakovao Tesla modem i Infotainment sistem tokom prvog izdanja Pwn2Own Automotive u januaru, dobijajući root dozvole za Tesla modem tako što je povezao tri nulta dana i demonstrirao bijeg iz zaštićenog okruženja Infotainment sistema putem lanca eksploatacije od dva nulat dana.

Izvor: BleepingComputer

Exit mobile version