Pwn2Own Toronto 2022 đã kết thúc với việc những người chơi đã giành được 989.750 đô tiền thưởng cho 63 khai thác zero-day (và nhiều lỗ hổng bị trùng nhau) trong các sản phẩm tiêu dùng từ ngày 6 đến ngày 9 tháng 12.
Trong cuộc thi này, 26 đội và các nhà nghiên cứu bảo mật đã thử nghiệm khai thác trên các danh mục thiết bị điện thoại di động, home automation hubs, máy in, bộ định tuyến không dây, NAS (network-attached storage) và loa thông minh, tất cả đều được cập nhật bản vá đầy đủ và được cấu hình theo mặc định.
Mặc dù không có đội chơi nào đăng ký hack điện thoại thông minh iPhone 13 của Apple và Pixel 6 của Google, nhưng các nhà nghiên cứu đã hack thành công một chiếc Samsung Galaxy S22 bốn lần.
STAR Labs là nhóm đầu tiên khai thác thành công lỗ hổng zero-day trong Samsung Galaxy S22 bằng cách khai thác lỗi xác thực đầu vào không chính xác trong lần thử nghiệm thứ ba của họ, giành được 50.000 đô và 5 điểm Master of Pwn.
Một người chơi khác, nhà nghiên cứu Chim, cũng đã thử nghiệm thành công một khai thác nhắm vào Samsung Galaxy S22 vào ngày đầu tiên của cuộc thi.
Tiếp đó, các nhà nghiên cứu của Interrupt Labs và Pentest Limited cũng đã hack thành công Galaxy S22 vào ngày thứ hai và thứ ba của cuộc thi, đáng chú ý, Pentest Limited chỉ mất 55 giây để chứng minh khai thác zero-day của họ.
Trong suốt cuộc thi, các nhà nghiên cứu đã thử nghiệm thành công các khai thác zero-day trong các thiết bị từ nhiều nhà cung cấp, bao gồm Canon, HP, Mikrotik, NETGEAR, Sonos, TP-Link, Lexmark, Synology, Ubiquiti, Western Digital, Mikrotik và HP.
Sau khi các lỗ hổng zero-day bị khai thác trong cuộc thi Pwn2Own được báo cáo, các nhà cung cấp có 120 ngày để phát hành các bản vá trước khi ZDI tiết lộ công khai chúng.
Kết thúc cuộc thi, DEVCORE là nhóm đã giành chiến thắng và giành được 142.500 đô tiền thưởng và 18,5 điểm Master of Pwn. Theo sau họ là Đội Viettel với 82.500 USD và 16,5 điểm và NCC Group EDG với 78.750 USD và 15,5 điểm.
Bảng xếp hạng cuối cùng của Pwn2Own Toronto 2022 (ZDI)
Bạn có thể xem lịch trình đầy đủ của cuộc thi tại đây cũng như chương trình và kết quả mỗi ngày của Pwn2Own Toronto 2022 tại đây.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Apple đã công bố một loạt các biện pháp bảo mật mới, bao gồm cài đặt Bảo vệ dữ liệu nâng cao cho phép sao lưu dữ liệu được mã hóa E2E trong dịch vụ iCloud của họ.
Tín nhiệm mạng | Cuộc thi hack Pwn2Own Toronto 2022 đã bắt đầu và gây chú ý với tin tức về vụ hack Samsung Galaxy S22 vào ngày đầu tiên của cuộc thi.
Tín nhiệm mạng | Một chiến dịch xâm nhập mới được phát hiện đã nhắm vào các công ty viễn thông và công ty cung cấp dịch vụ gia công quy trình kinh doanh (BPO) kể từ tháng 6 năm 2022.
Tín nhiệm mạng | Những nhà bảo trì hệ điều hành FreeBSD đã phát hành các bản cập nhật để khắc phục một lỗ hổng bảo mật ảnh hưởng đến mô-đun ping có khả năng bị khai thác để khiến chương trình gặp sự cố hoặc kích hoạt thực thi mã từ xa.
Tín nhiệm mạng | Google đã phát hành một bản cập nhật bảo mật mới để khắc phục một lỗ hổng zero-day mới đã bị khai thác trong thực tế trong trình duyệt web Chrome.
Tín nhiệm mạng | Chứng chỉ nền tảng (Platform certificates) được sử dụng bởi các nhà cung cấp điện thoại thông minh Android như Samsung, LG và MediaTek đã bị lạm dụng để ký các ứng dụng độc hại.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
