Selama hari kedua Pwn2Own Vancouver 2023, para pesaing diberikan $475.000 setelah berhasil mengeksploitasi 10 hari nol dalam beberapa produk.
Daftar target yang diretas termasuk Tesla Model 3, platform komunikasi Tim Microsoft, platform virtualisasi Oracle VirtualBox, dan sistem operasi Desktop Ubuntu.
Sorotan hari kedua adalah upaya sukses dari David Berard dari Synacktiv (@_p0ly_) dan Vincent Dehors (@vdehors) melawan Tesla – Infotainment Unconfined Root.
Ini memberi mereka $ 250.000 dan memungkinkan mereka membawa pulang Tesla Model 3 setelah meretas melalui heap overflow dan rantai eksploit tulis OOB.
Thomas Imbert dari Synacktiv (@masthoon) dan Thomas Bouzerar (@MajorTomSec) juga berhasil mengeksploitasi rantai tiga bug untuk meningkatkan hak istimewa pada host Oracle VirtualBox untuk mendapatkan $80.000.
Pada upaya ketiga dari Synacktiv, Tanguy Dubroca (@SidewayRE) dianugerahi $30.000 karena mendemonstrasikan penskalaan pointer yang salah pada zero-day yang mengarah ke eskalasi hak istimewa di Desktop Ubuntu.
Tim Viettel (@vcslab) juga meretas Microsoft Teams melalui rangkaian 2 bug untuk mendapatkan $78.000 dan VirtualBox Oracle menggunakan bug Use-After-Free (UAF) dan variabel yang tidak diinisialisasi seharga $40.000.
Pada hari pertamaPesaing Pwn2Own dianugerahi $375.000 dan Tesla Model 3 setelah berhasil mendemonstrasikan 12 zero-days di Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox, dan macOS.
Pada hari terakhir kontes, peneliti keamanan akan mencoba mengeksploitasi bug zero-day di Ubuntu Desktop, Microsoft Teams, Windows 11, dan VMware Workstation.
Pwn2Own Vancouver 2023 kontestan dapat memperoleh $1.080.000 dalam bentuk tunai dan dua mobil Tesla Model 3 antara 22 Maret dan 24 Maret.
Peneliti akan menargetkan produk dari berbagai kategori selama kontes, termasuk aplikasi perusahaan, komunikasi perusahaan, server, virtualisasi, otomotif, dan eskalasi hak istimewa (EoP) lokal.
Itu menyimpulkan Hari 2 #P2OVancouver – kami menghadiahkan $475.000 untuk 10 zero-day unik hari ini, sehingga total yang diberikan menjadi $850.000! Nantikan besok untuk hari terakhir kompetisi. #Pwn2Milik pic.twitter.com/EtMnP4Ree5
— Inisiatif Hari Nol (@thezdi) 23 Maret 2023
“Acara tahun ini menjanjikan beberapa penelitian menarik karena kami memiliki 19 entri yang menargetkan sembilan target berbeda – termasuk dua percobaan Tesla,” kata ZDI.
“Untuk acara tahun ini, setiap putaran akan membayar harga penuh, yang berarti jika semua eksploitasi berhasil, kami akan menghadiahkan lebih dari $1.000.000 USD.”
Vendor harus menambal kerentanan zero-day yang didemonstrasikan dan diungkapkan selama Pwn2Own dalam waktu 90 hari sebelum Zero Day Initiative dari Trend Micro mempublikasikan detail teknis.
Di Pwn2Own Vancouver 2022peneliti keamanan memperoleh $1.155.000 setelah meretas Tesla Model 3 Infotainment System, mematikan Windows 11 enam kali, mendemonstrasikan tiga Microsoft Teams zero-days, dan mengeksploitasi Desktop Ubuntu empat kali.
