Cuộc thi hack Pwn2Own Toronto 2022 đã bắt đầu và gây chú ý với tin tức về vụ hack Samsung Galaxy S22 vào ngày đầu tiên của cuộc thi. Các nhà nghiên cứu tham gia cuộc thi đã hack thành công điện thoại thông minh Samsung Galaxy S22 hai lần trong ngày đầu tiên của cuộc thi.
Sự kiện năm nay có bảy hạng mục khác nhau dành cho các thí sinh, bao gồm Mobile Phones, Wireless Routers, Home Automation Hubs,Printers, Smart Speakers, NAS Devices, The SOHO Smashup với hơn 1.000.000 đô la tiền thưởng.
Nhóm STAR Labs đã thực hiện thành công một cuộc tấn công khai thác lỗ hổng xác thực đầu vào không thích hợp (improper input validation) trong lần thử nghiệm thứ 3 của họ đối với Samsung Galaxy S22 và giành được 50K đô và 5 điểm Master of Pwn.
Trong đó, thiết bị thử nghiệm đang chạy phiên bản mới nhất của hệ điều hành Android và đã được cài đặt tất cả các bản cập nhật hiện có.
Sau STAR Labs, một nhà nghiên cứu khác, Chim, cũng đã thử nghiệm thành công tấn công này đối với Samsung Galaxy S22 và giành được 25K đô và 5 điểm Master of Pwn.
Người khai thác thành công lần đầu tiên trên mỗi mục tiêu, trong trường hợp này là STAR Labs, đã nhận được toàn bộ giải thưởng bằng tiền mặt và các thiết bị được thử nghiệm. Đối với những người thắng sau đó sẽ nhận được 50% giải thưởng, tuy nhiên, họ vẫn sẽ nhận được toàn bộ điểm Master of Pwn.
DEVCORE là nhóm đầu tiên thử nghiệm thành công hai cuộc tấn công tràn bộ đệm dựa trên stack khác nhau nhằm vào bộ định tuyến Mikrotik và máy in Canon trong hạng mục mới, “SOHO SMASHUP” và nhận về 100 nghìn đô la tiền mặt và 10 điểm Master of Pwn.
Top 5 bảng xếp hạng kết quả trong ngày đầu tiên của cuộc thi
Nhóm Nghiên cứu Claroty đã kết hợp 3 lỗ hổng (2 lỗ hổng thiếu kiểm tra xác thực và lỗ hổng bỏ qua xác thực) để tấn công Synology DiskStation DS920+ trong danh mục NAS. Họ đã giành được 40K đô tiền thưởng và 4 điểm Master of Pwn.
Trong danh mục “Máy in”, Horizon3 AI đã chứng minh thành công một khai thác command injection bằng cách cho mọi người nghe một bản nhạc nổi tiếng phát ra từ máy in Lexmark MC3224i. Họ đã giành được 20K đô và 2 điểm Master of Pwn. Các nhà nghiên cứu của Interrupt Labs đã thực hiện thành công cuộc tấn công tràn bộ đệm dựa trên stack vào lần thử nghiệm thứ 3 của họ và cũng là lần cuối cùng đối với HP Color LaserJet Pro M479fdw trong danh mục này. Họ cũng đã nhận được 20K đô và 2 điểm Master of Pwn.
Trong ngày đầu tiên của cuộc thi này, các hacker mũ trắng cũng đã thử nghiệm thành công các khai thác của họ đối với các bộ định tuyến từ nhiều nhà cung cấp, bao gồm Mikrotik, NETGEAR, TPLink và Synology.
Để biết thêm chi tiết, bạn có thể xem tại “PWN2OWN TORONTO 2022 - KẾT QUẢ NGÀY ĐẦU TIÊN”.
Nguồn: securityaffairs.co.
Tín nhiệm mạng | Một chiến dịch xâm nhập mới được phát hiện đã nhắm vào các công ty viễn thông và công ty cung cấp dịch vụ gia công quy trình kinh doanh (BPO) kể từ tháng 6 năm 2022.
Tín nhiệm mạng | Những nhà bảo trì hệ điều hành FreeBSD đã phát hành các bản cập nhật để khắc phục một lỗ hổng bảo mật ảnh hưởng đến mô-đun ping có khả năng bị khai thác để khiến chương trình gặp sự cố hoặc kích hoạt thực thi mã từ xa.
Tín nhiệm mạng | Google đã phát hành một bản cập nhật bảo mật mới để khắc phục một lỗ hổng zero-day mới đã bị khai thác trong thực tế trong trình duyệt web Chrome.
Tín nhiệm mạng | Chứng chỉ nền tảng (Platform certificates) được sử dụng bởi các nhà cung cấp điện thoại thông minh Android như Samsung, LG và MediaTek đã bị lạm dụng để ký các ứng dụng độc hại.
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong framework Quarkus Java có khả năng bị khai thác để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | Một ứng dụng nhắn tin Android độc hại trên Cửa hàng Google Play đã bị phát hiện là lén lút thu thập các tin nhắn để tạo tài khoản trên nhiều nền tảng như Facebook, Google và WhatsApp.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
