Trong ngày đầu tiên của Pwn2Own Vancouver 2022, các thí sinh đã giành được 800.000 đô sau khi khai thác thành công 16 lỗ hổng zero-day trong nhiều sản phẩm, bao gồm hệ điều hành Windows 11 và ứng dụng Team của Microsoft.
Ứng dụng đầu tiên bị hack là Microsoft Teams, thuộc hạng mục truyền thông danh nghiệp, sau khi Hector Peralta khai thác một lỗ hổng cấu hình không phù hợp.
Nhóm STAR Labs (Billy Jheng Bing-Jhong, Muhammad Alifa Ramdhan, và Nguyễn Hoàng Thạch) cũng thực hiện thành công chuỗi khai thác zero-click gồm 2 lỗ hổng chèn và ghi tệp tùy ý.
Microsoft Teams bị tấn công lần thứ ba bởi Masato Kinugawa với chuỗi khai thác 3 lỗ hổng gồm injection, misconfiguration và sandbox escape.
Mỗi người trong số họ đã giành được 150.000 đô la sau khi khai thác thành công các zero-day trong Microsoft Teams.
STAR Labs cũng giành được thêm 80.000 đô la cho hai khai thác leo thang đặc quyền trên hệ thống Windows 11 và trên Oracle Virtualbox (mỗi khai thác 40.000 đô).
Manfred Paul (@_manfp) cũng đã thử nghiệm thành công 2 lỗ hổng (prototype pollution và improper input validation) để hack Mozilla Firefox và một lỗ hổng out-of-band write trong Apple Safari để giành được 150.000 USD.
Ngoài ra, trong ngày đầu tiên của Pwn2Own, Marcin Wiązowski, Team Orca of Sea Security và Keith Yeo cũng đã khai thác thành công các zero-day khác trong Windows 11 và Ubuntu Desktop.
Manfred Paul (@_manfp) trong cuộc thi
Vào ngày thứ hai, người chơi Pwn2Own sẽ cố gắng khai thác các zero-day trong Hệ thống Tesla Model 3 Infotainment và Diagnostic Ethernet, Windows 11 và Ubuntu Desktop.
Sau khi các lỗ hổng bảo mật được chứng minh và tiết lộ trong Pwn2Own, các nhà cung cấp phần mềm và phần cứng có 90 ngày để phát triển và phát hành các bản vá bảo mật cho tất cả các lỗ hổng được báo cáo.
Pwn2Own Vancouver 2022 diễn ra từ ngày 18 tháng 5 đến ngày 20 tháng 5. Trong cuộc thi, các nhà nghiên cứu bảo mật sẽ thử nghiệm khai thác trong các hạng mục: virtualization, web browser, Local Escalation of Privilege, servers, enterprise communications, và automotive.
Người chơi có thể giành được hơn 1.000.000 đô tiền mặt và các giải thưởng khác bao gồm một chiếc Tesla Model 3 và một chiếc Tesla Model S. Phần thưởng cao nhất cho việc hack một chiếc Tesla hiện là 600.000 đô.
Fluoroacetate là đội đầu tiên giành được Tesla Model 3 tại Pwn2Own Vancouver 2019 sau khi hack hệ thống thông tin giải trí dựa trên Chromium của chiếc xe.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Microsoft phát hiện một chiến dịch độc hại nhắm mục tiêu vào máy chủ SQL sử dụng một tệp nhị phân PowerShell để duy trì truy cập trên các hệ thống bị xâm phạm.
Tín nhiệm mạng | Biến thể mới của botnet srv đang khai thác các lỗ hổng bảo mật trong các ứng dụng web và cơ sở dữ liệu để cài đặt các công cụ khai thác tiền điện tử trên cả hệ thống Windows và Linux.
Tín nhiệm mạng | Phát hiện hơn 200 ứng dụng Android giả mạo các ứng dụng fitness, chỉnh sửa ảnh và giải đố nhằm phát tán phần mềm gián điệp Facestealer để lấy thông tin đăng nhập và các thông tin khác của người dùng.
Tín nhiệm mạng | Một phân tích bảo mật đầu tiên về chức năng Find My của iOS đã phát hiện phương pháp tấn công mới cho phép giả mạo firmware và tải phần mềm độc hại, có thể thực thi ngay cả khi iPhone đang tắt.
Tín nhiệm mạng | SonicWall đã đưa ra cảnh báo về ba lỗ hổng bảo mật trong các thiết bị Secure Mobile Access (SMA) 1000, trong đó có một lỗ hổng mức cao cho phép bỏ qua xác thực.
Tín nhiệm mạng | Một framework post-exploitation mới có tên là IceApple đã được triển khai trên các máy chủ Microsoft Exchange cho phép kẻ tấn công thu thập và lấy cắp dữ liệu.