Pada hari ketiga kontes peretasan Pwn2Own, peneliti keamanan diberikan $185.000 setelah mendemonstrasikan 5 eksploitasi zero-day yang menargetkan Windows 11, Desktop Ubuntu, dan perangkat lunak virtualisasi VMware Workstation.
Sorotan hari itu adalah sistem operasi Desktop Ubuntu diretas tiga kali oleh tiga tim berbeda, meskipun salah satunya bertabrakan dengan eksploit yang diketahui sebelumnya.
Tiga zero-day Ubuntu yang berfungsi didemokan oleh Kyle Zeng dari ASU SEFCOM (bug gratis ganda), Mingi Cho dari Theori (kerentanan Use-After-Free), dan Bien Pham (@bienpnn) dari Qrious Security.
Sementara dua yang pertama masing-masing diberikan $30.000 untuk eksploitasi zero-day mereka, Pham hanya memperoleh $15.000 karena tabrakan bug.
Sistem Windows 11 yang ditambal sepenuhnya diretas lagi di Pwn2Own, dengan Thomas Imbert (@masthoon) dari Synacktiv (@Synacktiv) menghasilkan $30.000 untuk bug Use-After-Free (UAF).
Last but not least, STAR Labs (@starlabs_sg) tim menggunakan variabel yang tidak diinisialisasi dan rantai eksploitasi UAF melawan VMWare Workstation untuk hadiah $80.000.
Pada hari pertamakontestan Pwn2Own Vancouver 2023 memperoleh $375.000 dan Tesla Model 3 setelah mendemonstrasikan 12 zero-days di Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox, dan macOS.
Selama hari keduapesaing diberikan $475.000 setelah mengeksploitasi 10 zero-days di berbagai produk, termasuk Windows 11, Tesla, Ubuntu, dan macOS.
Ini menjadikan totalnya menjadi $1.035.000 dan mobil yang diberikan untuk 27 eksploitasi zero-day yang didemonstrasikan selama tiga hari tahun ini Pwn2Own Vancouver 2023 kontes.
Pemenang kompetisi ini adalah Synacktiv, yang memperoleh $530.000 dan sebuah mobil Tesla Model 3 untuk eksploitasi mereka.
Itu bungkus untuk #P2OVancouver! Kontestan mengungkapkan 27 unik 0-hari dan memenangkan gabungan $1.035.000 (dan sebuah mobil)! Selamat kepada para Master of Pwn, @Synacktiv, atas kesuksesan besar dan kerja keras mereka! Mereka memperoleh 53 poin, $530.000, dan Tesla Model 3. #Pwn2Milik pic.twitter.com/xtd0cdjGC3
— Inisiatif Hari Nol (@thezdi) 24 Maret 2023
Pada Pwn2Own Vancouver 2023peneliti keamanan perangkat lunak yang ditargetkan dari berbagai kategori, termasuk otomotif, aplikasi dan komunikasi perusahaan, server, virtualisasi, dan eskalasi hak istimewa (EoP) lokal.
“Untuk acara tahun ini, setiap putaran akan membayar harga penuh, yang berarti jika semua eksploitasi berhasil, kami akan menghadiahkan lebih dari $1.000.000 USD,” kata.
Vendor memiliki waktu 90 hari untuk menambal bug zero-day yang didemonstrasikan dan diungkapkan selama Pwn2Own sebelum Zero Day Initiative dari Trend Micro akan merilis detail teknis secara publik.
Pada tahun lalu Pwn2Own Vancouver kompetisi peretasan, para peneliti dianugerahi $ 1.155.000 setelah meretas Sistem Infotainment Tesla Model 3 dan menghapus Windows 11, Microsoft Teams, dan Desktop Ubuntu menggunakan beberapa bug zero-day dan mengeksploitasi rantai.
