A competição Pwn2Own Vancouver 2024 começou , apresentando uma série de vulnerabilidades significativas de segurança cibernética em um gama de produtos de tecnologia, incluindo Windows 11, veículos Tesla e Ubuntu Linux. O evento, que é um ponto focal para especialistas em segurança cibernética em todo o mundo, já viu os participantes ganharem um total de US$ 732.500 e um carro Tesla Model 3 por suas divulgações de vulnerabilidades de dia zero e cadeias de exploração. Entre as conquistas notáveis, a equipe do Synacktiv se destacou ao garantir um Tesla Model 3 e US$ 200.000 por seu rápido hackeamento em uma ECU Tesla usando uma vulnerabilidade de estouro de número inteiro.
Exploits e prêmios em destaque
O primeiro dia da competição contou com uma variedade de alvos e técnicas de exploração inovadoras. Abdul Aziz Hariri da Haboob SA ganhou US$ 50.000 por explorar o Adobe Reader no macOS por meio de um desvio de restrição de API e um bug de injeção de comando. Os pesquisadores de segurança da Theori, Gwangun Jung e Junoh Lee, demonstraram uma fuga notável de uma VM VMware Workstation para obter execução em nível de SYSTEM no sistema operacional Windows host, ganhando US$ 130.000. Essa exploração envolveu uma cadeia de vulnerabilidades, incluindo um bug de variável não inicializada, uma vulnerabilidade use-after-free (UAF) e um buffer overflow baseado em heap.
Isso encerra o primeiro dia. de #Pwn2Own Vancouver 2024. Concedemos US$ 732.500 por 19 dias 0 exclusivos. @Synacktiv atualmente lidera a busca pelo Mestre do Pwn, mas @_manfp está logo atrás deles. Aqui está a classificação completa: pic.twitter.com/GbtDzbCFgO
— Iniciativa Dia Zero (@thezdi) 21 de março de 2024
Explorações adicionais foram demonstradas contra software de virtualização e navegadores da web. A dupla da Reverse Tactics, Bruno PUJOS e Corentin BAYET, explorou as vulnerabilidades do Oracle VirtualBox junto com um bug do Windows UAF para escapar de uma VM e obter privilégios de SYSTEM, arrecadando US$ 90.000. Manfred Paul atacou com sucesso os navegadores Apple Safari, Google Chrome e Microsoft Edge usando três vulnerabilidades de dia zero, ganhando US$ 102.500 por seus esforços.
Implicações futuras e desafios futuros
Após a demonstração de zero-day na Pwn2Own, os fornecedores terão um período de 90 dias para desenvolver e lançar patches de segurança para as falhas relatadas, após o qual a Iniciativa Zero Day da Trend Micro irá divulgá-las publicamente. A competição continua com os participantes direcionados a uma variedade de produtos, incluindo Windows 11, VMware Workstation, Oracle VirtualBox, Mozilla Firefox, Ubuntu Desktop, Google Chrome, Docker Desktop e Microsoft Edge. Com mais de US$ 1.300.000 em prêmios, incluindo
