Các nhà nghiên cứu bảo mật đã hack thành công Samsung Galaxy S23 hai lần trong ngày đầu tiên của cuộc thi hack Pwn2Own 2023 tại Toronto, Canada.
Họ cũng thử nghiệm các khai thác khác nhắm vào các zero-day trên điện thoại thông minh 13 Pro của Xiaomi, cũng như máy in, loa thông minh, thiết bị lưu trữ Network Attached Storage (NAS) và camera giám sát từ Western Digital, QNAP, Synology, Canon, Lexmark và Sonos.
Pentest Limited là công ty đầu tiên thử nghiệm tấn công zero-day thành công trên thiết bị Galaxy S23 của Samsung bằng cách khai thác lỗ hổng kiểm tra xác thực đầu vào không chính xác để thực thi mã và giành được 50.000 đô và 5 điểm Master of Pwn.
Nhóm STAR Labs SG đã khai thác danh sách đầu vào được cho phép để hack Samsung Galaxy S23, giành được 25.000 đô và 5 điểm Master of Pwn.
Ban tổ chức giải thích rằng: "Mặc dù chỉ có thử nghiệm đầu tiên trong một hạng mục mới giành được toàn bộ giải thưởng tiền mặt, nhưng mỗi thử nghiệm tấn công thành công sẽ nhận được toàn bộ số điểm Master of Pwn".
“Vì thứ tự thực hiện được xác định bằng cách rút thăm ngẫu nhiên, những người thử nghiệm sau vẫn có thể nhận được danh hiệu Master of Pwn - ngay cả khi họ giành được khoản tiền thưởng thấp hơn.”
Theo quy tắc của cuộc thi Pwn2Own Toronto 2023, tất cả các thiết bị được nhắm mục tiêu đều chạy phiên bản hệ điều hành mới nhất và đã cài đặt tất cả các bản cập nhật bảo mật.
ZDI (Zero Day Initiative) đã thưởng 438.750 đô trong ngày đầu tiên của cuộc thi cho 25 lỗ hổng zero-day được thử nghiệm khai thác thành công.
Trong cuộc thi Pwn2Own Toronto 2023 do ZDI của Trend Micro tổ chức, người chơi có thể nhắm mục tiêu vào các thiết bị di động và thiết bị IoT, bao gồm điện thoại di động (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 và Xiaomi 13 Pro), máy in, bộ định tuyến không dây, thiết bị lưu trữ NAS, home automation hub, hệ thống giám sát, loa thông minh (smart speaker) cũng như các thiết bị Pixel Watch và Chromecast của Google, tất cả đều ở cấu hình mặc định và chạy các bản cập nhật bảo mật mới nhất.
Phần thưởng cao nhất dành cho các lỗi zero-day trong hạng mục điện thoại di động, với giải thưởng tiền mặt lên tới 300.000 đô cho người hack iPhone 14 và 250.000 đô cho Pixel 7, với hơn 1.000.000 đô tiền mặt dành cho các thí sinh.
Khai thác thành công các thiết bị của Google và Apple sẽ mang lại thêm 50.000 đô tiền thưởng nếu mã khai thác thực thi với đặc quyền mức kernel, nâng phần thưởng tối đa có thể có cho một thử nghiệm lên tổng số 350.000 đô cho chuỗi khai thác có quyền truy cập mức kernel nhắm vào Apple iPhone 14.
Bạn có thể xem thông tin lịch trình đầy đủ của cuộc thi tại đây và kết quả của ngày thi đầu tiên tại đây.
Vào tháng 3, trong cuộc thi Pwn2Own Vancouver 2023, các nhà nghiên cứu đã được thưởng 1.035.000 đô và một chiếc ô tô Tesla Model 3 vì đã khai thác được 27 lỗ hổng zero-day.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Các cơ quan chính phủ ở khu vực Châu Á - Thái Bình Dương (APAC) đang bị nhắm mục tiêu trong một chiến dịch gián điệp mạng có tên là TetrisPhantom.
Tín nhiệm mạng | Hai lỗ hổng bảo mật nghiêm trọng được phát hiện trong phần mềm cloud cá nhân CasaOS mã nguồn mở có thể cho phép kẻ tấn công khai thác để thực thi mã tùy ý và chiếm quyền điều khiển các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | CISA, FBI và MS-ISAC đang cảnh báo các quản trị viên mạng ngay lập tức vá một lỗ hổng nghiêm trọng, đã bị khai thác trong thực tế, trên các máy chủ Atlassian Confluence.
Tín nhiệm mạng | Cisco đang cảnh báo về một lỗ hổng zero-day nghiêm trọng, chưa được vá, đang bị khai thác trong thực tế, ảnh hưởng đến phần mềm iOS XE.
Tín nhiệm mạng | Một phần mềm độc hại có tên DarkGate đang được phát tán thông qua các nền tảng nhắn tin trực tuyến như Skype và Microsoft Teams.
Tín nhiệm mạng | Microsoft gần đây đã thông báo rằng giao thức xác thực NTLM sẽ bị vô hiệu hóa trong Windows 11 trong tương lai.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
