Wszystkie najważniejsze systemy operacyjne i Tesla Model 3 zhakowane. Polak wyróżniony

Coroczny konkurs dla hakerów Pwn2Own 2023 kończy się dziś w ramach wydarzenia o nazwie CanSecWest w kanadyjskim Vancouver. Co ciekawe, właśnie z tego miasta pochodzi Linus Sebastian, prowadzący zhakowany wczoraj kanał LinusTechTips. O ile wymierzony weń atak hakerski nie był z pewnością częścią eventu, to jego uczestnicy zhakowali pomyślnie wszystkie najważniejsze systemy operacyjne oraz oprogramowanie samochodu Tesla Model 3. Zarobili na tym krocie.

Pwn2Own 2023 – co się udało zhakować?

Zero Day Initiative ogłosiło zwycięzców pierwszej rundy konkursu hakerskiego Pwn2Own 2023. Pięciu uczestników zarobiło łącznie 375 000 dolarów (ok. 1,6 mln złotych) z puli opiewającej na ponad 1 miliona dolarów (ponad 4,35 mln złotych), włamując się do popularnych systemów operacyjnych, znanych programów i oprogramowania samochodu Tesla Model 3. Hakerzy znaleźli w sumie 12 luk zero-day.

Największą nagrodę i pierwsze miejsce zgarnęła firma Synacktiv, która złamała zabezpieczenia auta Tesla Model 3 za pomocą ataku TOCTOU (time-of-check to time-of-use), a następnie uniknęła uprawnień dostępu w systemie macOS. Zespół zgarnął nie tylko 140 000 dolarów, ale też… zhakowaną Teslę, zdobywając przy tym 14 punktów.

Drugi na podium z wynikiem 11,5 punkta STAR Labs wygrał 115 000 dolarów dzięki łańcuchowi exploitów zero-day wymierzonych w Microsoft SharePoint i pomyślne włamanie do systemu operacyjnego Ubuntu Desktop za pomocą znanego wcześniej exploita.

Podium zamknął Abdul Aziz Hariri z wygraną 50 000 dolarów i 5 punktami, demonstrując exploit w narzędziu Adobe Reader, pozwalający mu nadużywać wielu „niepoprawnie zainstalowanych” łatek, uciec z piaskownicy (ang. sandbox) programu i ominąć listę zakazanych interfejsów API w systemie macOS.

That wraps up the first day of #P2OVancouver 2023! We awarded $375,000 (and a Tesla Model 3!) for 12 zero-days during the first day of the contest. Stay tuned for day two of the contest tomorrow! #Pwn2Own pic.twitter.com/UTvzqxmi8E

— Zero Day Initiative (@thezdi) March 22, 2023

Dalsze miejsca przypadły zespołowi Qrious Security oraz Polakowi, Marcinowi Wiązowskiemu, który pomyślnie podniósł uprawnienia użytkownika w systemie Windows 11 poprzez buga dotyczącego sprawdzania poprawności danych wejściowych.

Luki zostaną ujawnione za 90 dni

Zero Day Initiative ujawni szczegóły luk zero-day zademonstrowanych podczas Pwn2Own 2023 producentom oprogramowania. Deweloperzy będą mieli następnie 90 dni na wydanie poprawek bezpieczeństwa. Organizacja publicznie ujawni wady po upływie tego terminu, niezależnie od statusu poprawki.

Źródło: Twitter