🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Lưu trữ lịch sử Thành phố - Sở Nội Vụ Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện tim Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện tâm thần Ban ngày Mai Hương đã đăng ký tín nhiệm. 🔥                   

Các nhà nghiên cứu đã giành được 1.132.500 USD với 29 zero-day được khai thác tại Pwn2Own Vancouver 2024

22/03/2024

Pwn2Own Vancouver 2024 đã kết thúc với việc các nhà nghiên cứu bảo mật giành được 1.132.500 USD tiền thưởng và một chiếc Tesla Model 3 sau khi khai thác thành công 29 lỗ hổng zero-day.

Mục tiêu đặt ra trong cuộc thi nhắm tới các phần mềm và sản phẩm trong trình duyệt web, nền tảng cloud/container, ảo hóa, các ứng dụng doanh nghiệp, máy chủ, leo thang đặc quyền cục bộ (EoP), truyền thông doanh nghiệp và danh mục ô tô, tất cả đều được cập nhật và cấu hình theo mặc định.

Các nhà nghiên cứu đã thử nghiệm thành công việc thực thi mã và leo thang đặc quyền trên các hệ thống được vá đầy đủ sau khi hack Windows 11, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, ba trình duyệt web (Apple Safari, Google Chrome và Microsoft Edge) và Tesla Model 3.

Manfred Paul đã giành chiến thắng trong cuộc thi Pwn2Own Vancouver năm nay với 25 điểm Master of Pwn và 202.500 USD tiền thưởng sau khi hack thành công các trình duyệt web Apple Safari, Google Chrome và Microsoft Edge.

Vào ngày đầu tiên của Pwn2Own, Manfred Paul đã thực thi mã từ xa (RCE) thành công trong Safari thông qua khai thác lỗi integer underflow kết hợp với bypass PAC. Sau đó, anh ta sử dụng một khai thác double-tap RCE nhắm vào lỗi Xác thực không đúng cách số lượng dữ liệu đầu vào để tấn công Chrome và Edge.

Team Synacktiv cũng gây chú ý với việc hack Tesla ECU bằng Vehicle (VEH) CAN BUS Control trong vòng chưa đầy 30 giây bằng cách khai thác một lỗi integer underflow và giành được một chiếc ô tô Tesla Model 3 cùng với 200.000 USD.

Nhà nghiên cứu Dungdm (@_piers2) của nhóm Viettel Cyber Security cũng đã tấn công thành công Oracle VirtualBox và giành được 20,000 USD trong ngày đầu tiên của cuộc thi

Vào ngày thứ hai, Manfred Paul tiếp tục thành công với khai thác out-of-bounds write để đạt được RCE và thoát khỏi sandbox của Mozilla Firefox.

Bạn có thể xem thông tin lịch thi cũng như kết quả chi tiết của cuộc thi trên blog của ZDI.

Các nhà cung cấp có 90 ngày để phát hành bản vá bảo mật cho các lỗ hổng zero-day được báo cáo trong các cuộc thi Pwn2Own trước khi Zero Day Initiative của TrendMicro tiết lộ công khai các lỗ hổng.

Nguồn: bleepingcomputer.com.

scrolltop