直击Pwn2Own 2023:已有参赛团队喜提两辆特斯拉Model 3
2023-3-24 10:50:16 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2023年度的世界黑客大赛(Pwn2Own)已于当地时间3月22日在温哥华开赛,在为期三天的赛程中,参赛者们向包括微软、Mozilla、谷歌、Adobe、甲骨文、VMware、Ubuntu以及特斯拉在内的9大品牌产品发动攻势,主办方为本届比赛总计准备了108万美元奖金。目前,比赛正接近尾声,这些产品大多已被攻破。

Adobe

Day 1:Adob​​e Reader成为首个被攻破的产品,Haboob SA 团队成员因此拿下了“首金”,他在企业应用程序类别中展示了针对 Adob​​e Reader 的零日漏洞攻击,并因此获得了5万美元奖励和5个 Master of Pwn积分。

Ubuntu

Day 1:来自新加坡的团队 STAR Labs针对服务器类别中的微软SharePoint赢得了10万美元和10个Master of Pwn积分。他们还利用先前已知的漏洞攻击了 Ubuntu Desktop,获得了 1.5万美元奖金和 1.5个 Master of Pwn 积分。

Day 2:Synacktiv团队通过演示指针缩放零日漏洞导致的Ubuntu 权限提升,获得了3万美元奖金。

Windows

Day 1:在针对Windows11系统时,研究员 Marcin Wiązowski利用不正确的输入验证问题提升了系统权限,从而获得了3万美元奖金和 3 个 Master of Pwn 积分。

Day 2:Viettel 团队通过两个漏洞链入侵了 Microsoft Teams,获得了7.8万美元奖金。

特斯拉

Day 1:Synacktiv团队演示了针对特斯拉Gateway 的 TOCTOU的竞态条件漏洞攻击。他们获得了 10万美元和 10 个 Master of Pwn 积分,并额外获赠了一辆特斯拉Model 3。他们还利用 TOCTOU 漏洞升级了苹果 macOS 上的权限,获得了 4万美元奖金和 4 个 Master of Pwn 积分。

Day 2:Synacktiv的其中两名对员再度发起攻势,他们在成功实施堆溢出和 OOB 写入利用链攻击后获得了25万美元奖金,并为团队“喜提”第二辆Model 3。

甲骨文

Day 1:Qrious Security团队成员使用 OOB Read 和基于堆栈的缓冲区溢出漏洞利用链攻破了VirtualBox,从而获得了4万美元奖金,

Day 2:Synacktiv团队成员成功利用三条漏洞链升级了VirtualBox权限,获得了8万美元奖金。而Viettel团队利用一个UAF漏洞和未初始化的变量入侵了VirtualBox,获得了4万美元奖金。

在本届世界黑客大赛期间演示和披露零日漏洞,供应商须在比赛结束后 90 天内为所有报告的缺陷创建和发布安全修复程序,并由主办单位趋势科技的零日计划公开披露。在去年的比赛中,安全研究人员在入侵 Windows 11 6 次、Ubuntu Desktop 4 次并成功展示了三个 Microsoft Teams 零日漏洞后总计获得了115万美元奖金。

本届大赛将在当地时间3月24迎来最后一天的比赛,参赛者将再度以微软、Ubuntu、VMware为重点目标展开进攻,FreeBuf将持续关注。

参考来源:

https://www.bleepingcomputer.com/news/security/windows-11-tesla-ubuntu-and-macos-hacked-at-pwn2own-2023/

https://www.bleepingcomputer.com/news/security/microsoft-teams-virtualbox-tesla-zero-days-exploited-at-pwn2own/


文章来源: https://www.freebuf.com/news/361429.html
如有侵权请联系:admin#unsafe.sh