Durante il secondo giorno della competizione di hacking Pwn2Own Vancouver 2022, i concorrenti hanno violato di nuovo il sistema operativo Windows 11 di Microsoft e hanno dimostrato zero-day nel sistema di infotainment di Tesla Model 3.
La prima dimostrazione della giornata è arrivata dal team @Synacktiv , che ha dimostrato con successo due bug unici (Double-Free e OOBW) e una collisione di fuga sandbox mentre prendeva di mira il sistema di infotainment Tesla Model 3, guadagnando $ 75.000 per i loro sforzi.
Anche @Jedar_LZ non è riuscito a dimostrare un exploit zero-day contro l’auto di Tesla. Sebbene il bug non sia stato sfruttato entro il tempo assegnato, Zero Day Initiative (ZDI) di Trend Micro ha acquisito i dettagli dell’exploit e li ha divulgati a Tesla.
Una terza elevazione dei privilegi zero-day causata da un bug di controllo degli accessi improprio in Windows 11 è stata dimostrata il secondo giorno da T0, con namnp che non è riuscito a dimostrare una seconda escalation dei privilegi zero-day di Windows 11 entro il tempo assegnato.
Altre due vulnerabilità di escalation dei privilegi locali sono state dimostrate con successo dal team di STAR Labs e da Marcin Wiązowski durante il primo round del concorso Pwn2Own .
Anche Ubuntu Desktop è stato violato due volte, con Bien Pham ( @bienpnn ) e il Team TUTELARY della Northwestern University che hanno aumentato i privilegi utilizzando due bug Use After Free e guadagnando $ 40.000 ciascuno.
Il primo giorno di Pwn2Own, gli hacker hanno vinto $ 800.000 dopo aver sfruttato con successo 16 bug zero-day per hackerare più prodotti, tra cui il sistema operativo Windows 11 di Microsoft e la piattaforma di comunicazione Teams, Ubuntu Desktop, Apple Safari, Oracle Virtualbox e Mozilla Firefox.
Il terzo giorno del concorso, i concorrenti di Pwn2Own cercheranno di sfruttare più zero-day in Windows 11, Microsoft Teams e Ubuntu Desktop.
I fornitori hanno 90 giorni per sviluppare e rilasciare correzioni di sicurezza per tutti i difetti segnalati dopo che le vulnerabilità di sicurezza dimostrate sono state divulgate durante Pwn2Own.
Tra il 18 maggio e il 20 maggio, a Pwn2Own Vancouver 2022 , i ricercatori sulla sicurezza punteranno a prodotti in più categorie di prodotti , inclusi browser Web, virtualizzazione, escalation locale dei privilegi, server, comunicazioni aziendali e automotive.
Possono guadagnare più di $ 1.000.000 in contanti e premi durante i tre giorni del concorso dopo aver sfruttato con successo bug precedentemente sconosciuti.