Pada hari pertama Pwn2Own Vancouver 2023, peneliti keamanan berhasil mendemonstrasikan eksploitasi Tesla Model 3, Windows 11, dan macOS zero-day dan rantai eksploitasi untuk memenangkan $375.000 dan Tesla Model 3.
Yang pertama jatuh adalah Adobe Reader dalam kategori aplikasi perusahaan setelah Abdul Aziz Hariri dari Haboob SA (@abdhariri) menggunakan rantai eksploit yang menargetkan rantai logika 6-bug yang menyalahgunakan beberapa tambalan gagal yang lolos dari kotak pasir dan melewati daftar API yang dilarang di macOS untuk mendapatkan $50.000.
Tim STAR Labs (@starlabs_sg) mendemonstrasikan rantai eksploitasi zero-day yang menargetkan platform kolaborasi tim Microsoft SharePoint yang memberi mereka hadiah $100.000 dan berhasil meretas Desktop Ubuntu dengan eksploitasi yang sebelumnya diketahui seharga $15.000.
Synacktiv (@Synacktiv) membawa pulang $100.000 dan Tesla Model 3 setelah berhasil mengeksekusi serangan TOCTOU (time-of-check to time-of-use) terhadap Tesla – Gateway dalam kategori Otomotif. Mereka juga menggunakan kerentanan zero-day TOCTOU untuk meningkatkan hak istimewa di Apple macOS dan menghasilkan $40.000.
Oracle VirtualBox diretas menggunakan OOB Read dan rantai eksploitasi buffer overflow berbasis stacked (senilai $40.000) oleh Bien Pham dari Qrious Security (@bienpnn).
Last but not least, Marcin Wiązowski meningkatkan hak istimewa pada Windows 11 menggunakan validasi input yang tidak benar zero-day yang datang dengan hadiah $30.000.
Itu mengakhiri hari pertama #P2OVancouver 2023! Kami menghadiahkan $375.000 (dan Tesla Model 3!) untuk 12 hari nol selama hari pertama kontes. Nantikan hari kedua kontes besok! #Pwn2Milik pic.twitter.com/UTvzqxmi8E
— Inisiatif Hari Nol (@thezdi) 22 Maret 2023
Sepanjang Kontes Pwn2Own Vancouver 2023peneliti keamanan akan menargetkan produk dalam aplikasi perusahaan, komunikasi perusahaan, eskalasi hak istimewa (EoP) lokal, server, virtualisasi, dan kategori otomotif.
Pada hari kedua, pesaing Pwn2Own akan mendemonstrasikan eksploitasi zero-day yang menargetkan Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root, dan Desktop Ubuntu.
Pada hari terakhir kontes, peneliti keamanan akan menetapkan target mereka lagi di Desktop Ubuntu dan mencoba meretas Microsoft Teams, Windows 11, dan VMware Workstation.
Antara 22 Maret dan 24 Maret, kontestan dapat memperoleh $1.080.000 dalam bentuk tunai dan hadiah, termasuk mobil Tesla Model 3. Penghargaan tertinggi untuk meretas Tesla sekarang adalah $150.000, dan mobil itu sendiri.
Setelah kerentanan zero-day didemonstrasikan dan diungkapkan selama Pwn2Own, vendor memiliki waktu 90 hari untuk membuat dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan sebelum Zero Day Initiative dari Trend Micro mengungkapkannya secara publik.
Selama kontes Vancouver Pwn2Own tahun lalupeneliti keamanan memperoleh $1.155.000 setelah meretas Windows 11 enam kali, Desktop Ubuntu empat kali, dan berhasil mendemonstrasikan tiga Microsoft Teams zero-days.
Mereka juga melaporkan beberapa zero-days di Apple Safari, Oracle Virtualbox, dan Mozilla Firefox dan meretas Tesla Model 3 Infotainment System.
