Pwn2Own Vancouver 2024 đã kết thúc với việc các nhà nghiên cứu bảo mật giành được 1.132.500 USD tiền thưởng và một chiếc Tesla Model 3 sau khi khai thác thành công 29 lỗ hổng zero-day.
Mục tiêu đặt ra trong cuộc thi nhắm tới các phần mềm và sản phẩm trong trình duyệt web, nền tảng cloud/container, ảo hóa, các ứng dụng doanh nghiệp, máy chủ, leo thang đặc quyền cục bộ (EoP), truyền thông doanh nghiệp và danh mục ô tô, tất cả đều được cập nhật và cấu hình theo mặc định.
Các nhà nghiên cứu đã thử nghiệm thành công việc thực thi mã và leo thang đặc quyền trên các hệ thống được vá đầy đủ sau khi hack Windows 11, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, ba trình duyệt web (Apple Safari, Google Chrome và Microsoft Edge) và Tesla Model 3.
Manfred Paul đã giành chiến thắng trong cuộc thi Pwn2Own Vancouver năm nay với 25 điểm Master of Pwn và 202.500 USD tiền thưởng sau khi hack thành công các trình duyệt web Apple Safari, Google Chrome và Microsoft Edge.
Vào ngày đầu tiên của Pwn2Own, Manfred Paul đã thực thi mã từ xa (RCE) thành công trong Safari thông qua khai thác lỗi integer underflow kết hợp với bypass PAC. Sau đó, anh ta sử dụng một khai thác double-tap RCE nhắm vào lỗi Xác thực không đúng cách số lượng dữ liệu đầu vào để tấn công Chrome và Edge.
Team Synacktiv cũng gây chú ý với việc hack Tesla ECU bằng Vehicle (VEH) CAN BUS Control trong vòng chưa đầy 30 giây bằng cách khai thác một lỗi integer underflow và giành được một chiếc ô tô Tesla Model 3 cùng với 200.000 USD.
Nhà nghiên cứu Dungdm (@_piers2) của nhóm Viettel Cyber Security cũng đã tấn công thành công Oracle VirtualBox và giành được 20,000 USD trong ngày đầu tiên của cuộc thi
Vào ngày thứ hai, Manfred Paul tiếp tục thành công với khai thác out-of-bounds write để đạt được RCE và thoát khỏi sandbox của Mozilla Firefox.
Bạn có thể xem thông tin lịch thi cũng như kết quả chi tiết của cuộc thi trên blog của ZDI.
Các nhà cung cấp có 90 ngày để phát hành bản vá bảo mật cho các lỗ hổng zero-day được báo cáo trong các cuộc thi Pwn2Own trước khi Zero Day Initiative của TrendMicro tiết lộ công khai các lỗ hổng.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Phát hiện gần 19 triệu mật khẩu [bản rõ] bị lộ công khai trên mạng do các phiên bản Firebase bị cấu hình sai.
Atlassian đã phát hành các bản vá bảo mật để giải quyết hơn hai mươi lỗ hổng, bao gồm một lỗi nghiêm trọng, ảnh hưởng đến Data Center và Máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.
Tín nhiệm mạng | Một chiến dịch lừa đảo mới đang nhắm mục tiêu vào các tổ chức của Mỹ với mục đích triển khai trojan truy cập từ xa NetSupport RAT.
Tín nhiệm mạng | Công ty công nghệ Nhật Bản Fujitsu phát hiện ra rằng một số hệ thống của họ đã bị nhiễm phần mềm độc hại và cảnh báo rằng tin tặc đã đánh cắp dữ liệu của khách hàng.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện một số kho lưu trữ GitHub có chứa phần mềm bẻ khóa được sử dụng để phát tán mã độc đánh cắp thông tin RisePro.
Tín nhiệm mạng | Các plugin của bên thứ ba hiện có dành cho OpenAI ChatGPT có thể bị lạm dụng như một bề mặt tấn công mới cho các tác nhân đe dọa muốn truy cập trái phép vào dữ liệu nhạy cảm.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
