2023年度的世界黑客大赛(Pwn2Own)已于当地时间3月22日在温哥华开赛,在为期三天的赛程中,参赛者们向包括微软、Mozilla、谷歌、Adobe、甲骨文、VMware、Ubuntu以及特斯拉在内的9大品牌产品发动攻势,主办方为本届比赛总计准备了108万美元奖金。目前,比赛正接近尾声,这些产品大多已被攻破。
Adobe
Day 1:Adobe Reader成为首个被攻破的产品,Haboob SA 团队成员因此拿下了“首金”,他在企业应用程序类别中展示了针对 Adobe Reader 的零日漏洞攻击,并因此获得了5万美元奖励和5个 Master of Pwn积分。
Ubuntu
Day 1:来自新加坡的团队 STAR Labs针对服务器类别中的微软SharePoint赢得了10万美元和10个Master of Pwn积分。他们还利用先前已知的漏洞攻击了 Ubuntu Desktop,获得了 1.5万美元奖金和 1.5个 Master of Pwn 积分。
Day 2:Synacktiv团队通过演示指针缩放零日漏洞导致的Ubuntu 权限提升,获得了3万美元奖金。
Windows
Day 1:在针对Windows11系统时,研究员 Marcin Wiązowski利用不正确的输入验证问题提升了系统权限,从而获得了3万美元奖金和 3 个 Master of Pwn 积分。
Day 2:Viettel 团队通过两个漏洞链入侵了 Microsoft Teams,获得了7.8万美元奖金。
特斯拉
Day 1:Synacktiv团队演示了针对特斯拉Gateway 的 TOCTOU的竞态条件漏洞攻击。他们获得了 10万美元和 10 个 Master of Pwn 积分,并额外获赠了一辆特斯拉Model 3。他们还利用 TOCTOU 漏洞升级了苹果 macOS 上的权限,获得了 4万美元奖金和 4 个 Master of Pwn 积分。
Day 2:Synacktiv的其中两名对员再度发起攻势,他们在成功实施堆溢出和 OOB 写入利用链攻击后获得了25万美元奖金。
甲骨文
Day 1:Qrious Security团队成员使用 OOB Read 和基于堆栈的缓冲区溢出漏洞利用链攻破了VirtualBox,从而获得了4万美元奖金,
Day 2:Synacktiv团队成员成功利用三条漏洞链升级了VirtualBox权限,获得了8万美元奖金。而Viettel团队利用一个UAF漏洞和未初始化的变量入侵了VirtualBox,获得了4万美元奖金。
在本届世界黑客大赛期间演示和披露零日漏洞,供应商须在比赛结束后 90 天内为所有报告的缺陷创建和发布安全修复程序,并由主办单位趋势科技的零日计划公开披露。在去年的比赛中,安全研究人员在入侵 Windows 11 6 次、Ubuntu Desktop 4 次并成功展示了三个 Microsoft Teams 零日漏洞后总计获得了115万美元奖金。
本届大赛将在当地时间3月24迎来最后一天的比赛,参赛者将再度以微软、Ubuntu、VMware为重点目标展开进攻,FreeBuf将持续关注。
参考来源: