Microsoft Teams, Virtualbox und Tesla wurden alle in Pwn2Own ausgenutzt

Am Tag 2 von Pwn2Own Vancouver 2023 erhielten die Wettbewerber 475.000 US-Dollar, nachdem sie 10 Tage Null erfolgreich über mehrere Produkte hinweg ausgenutzt hatten.

Zu den gehackten Zielen gehörten das Tesla Model 3, die Kommunikationsplattform Teams von Microsoft, die virtuelle Plattform Oracle VirtualBox und das Betriebssystem Ubuntu Desktop.

Der Höhepunkt des zweiten Tages war ein erfolgreicher Versuch von David Berard von Synacktiv (@_p0ly_) und Vincent Dehors (@Mitarbeiter) gegen Tesla – die Wurzel des hemmungslosen Infotainments.

Dies brachte ihnen 250.000 US-Dollar ein und ermöglichte ihnen, ein Tesla Model 3 zu erhalten, nachdem sie über den Overflow-Stack gehackt und einen OOB-Exploit-String geschrieben hatten.

Thomas Imbert von Synacktiv (@Mitarbeiter) und Thomas Boozer (@Mitarbeiter) nutzte auch erfolgreich eine Reihe von drei Privilegien-Eskalationsfehlern auf einem Oracle VirtualBox-Host aus, um 80.000 US-Dollar zu verdienen.

Bei einem dritten Versuch von Synacktiv, Tanguy Dubroca (@Mitarbeiter) erhielt 30.000 US-Dollar für die Demonstration eines falschen Zero-Day-Benchmarks, der zu einer Rechteausweitung auf dem Ubuntu-Desktop führte.

Vettel-Team (@Mitarbeiter) hackte auch Microsoft Teams über einen Serie-2-Bug, um 78.000 US-Dollar zu verdienen, und Oracles VirtualBox mit einem UAF-Bug (Use-After-Free) und einer nicht initialisierten Variable für 40.000 US-Dollar.

Am ersten Tag erhielten Pwn2Own-Konkurrenten 375.000 US-Dollar und ein Tesla Model 3-Auto, nachdem sie 12 Zero Days in Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox und macOS erfolgreich präsentiert hatten.

Am letzten Tag des Wettbewerbs werden Sicherheitsforscher Zero-Day-Exploits in Ubuntu Desktop, Microsoft Teams, Windows 11 und VMware Workstation versuchen.

Pwn2Own Vancouver 2023 Teilnehmer können zwischen dem 22. März und dem 24. März 1.080.000 $ in bar und zwei Tesla Model 3 Autos gewinnen.

Forscher Produkte werden gezielt angesteuert aus mehreren Kategorien während des Wettbewerbs, darunter Unternehmensanwendungen, Unternehmenskommunikation, Server, Virtualisierung, Automotive und Local Privilege (EoP) Escalation.

„Die diesjährige Veranstaltung verspricht einige spannende Forschung, da wir 19 Einträge haben, die auf neun verschiedene Ziele abzielen – darunter zwei Tesla-Versuche“, sagte ZDI.

„Bei der diesjährigen Veranstaltung zahlt jede Runde den vollen Preis, was bedeutet, dass wir über 1.000.000 USD vergeben, wenn alle Exploits erfolgreich sind.“

Anbieter müssen getestete Zero-Day-Schwachstellen patchen und sie über Pwn2Own innerhalb von 90 Tagen offenlegen, bevor die Zero-Day-Initiative von Trend Micro technische Details öffentlich bekannt gibt.

Bei Pwn2Own Vancouver 2022 verdienten Sicherheitsforscher 1.155.000 US-Dollar, nachdem ein Tesla Model 3 Infotainment System gehackt wurde, Windows 11 sechs Mal zum Absturz brachte, drei Microsoft Teams Zero Days anzeigte und Ubuntu Desktop vier Mal ausnutzte.