🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý dự án đầu tư xây dựng công trình dân dụng và công nghiệp tỉnh Tiền Giang đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Windows 11, Tesla, Ubuntu và macOS đã bị hack tại Pwn2Own Vancouver 2023

23/03/2023

Vào ngày đầu tiên của Pwn2Own Vancouver 2023, các nhà nghiên cứu bảo mật đã thử nghiệm thành công các chuỗi khai thác và khai thác zero-day cho Tesla Model 3, Windows 11 và macOS để giành được 375.000 đô và một chiếc Tesla Model 3.

Adobe Reader là ứng dụng đầu tiên bị khai thác trong danh mục các ứng dụng doanh nghiệp sau khi Abdul Aziz Hariri của Haboob SA @abdhariri) sử dụng chuỗi khai thác kết hợp từ 6 lỗi logic, lạm dụng nhiều bản vá chưa hoàn chỉnh, để thoát sandbox và vượt qua danh sách API bị cấm trên macOS để giành được 50.000 đô tiền thưởng.

Nhóm STAR Labs (@starlabs_sg) đã thử nghiệm thành công một chuỗi khai thác zero-day nhắm vào nền tảng SharePoint của Microsoft và nhận được 100.000 đô. Ngoài ra, nhóm cũng đã tấn công thành công Ubuntu Desktop bằng một khai thác đã biết trước đó và giành được thêm 15.000 đô.

Synacktiv (@Synacktiv) đã nhận được 100.000 đô và một chiếc Tesla Model 3 sau khi thực hiện thành công cuộc tấn công TOCTOU nhằm vào Tesla - Gateway trong danh mục Ô tô. Họ cũng đã sử dụng lỗ hổng zero-day của TOCTOU để leo thang đặc quyền trên Apple macOS và giành thêm 40.000 đô.

Bien Pham (@bienpnn) của Qrious Security cũng nhận được 40.000 đô cho thử nghiệm tấn công Oracle VirtualBox bằng cách sử dụng OOB Read và chuỗi khai thác lỗ hổng tràn bộ đệm stack.

Cuối cùng, Marcin Wiązowski đã leo thang đặc quyền thành công trên Windows 11 bằng cách khai thác lỗ hổng zero-day thiếu kiểm tra xác thực đầu vào và nhận về 30.000 đô.

Trong suốt cuộc thi Pwn2Own Vancouver 2023, các nhà nghiên cứu bảo mật sẽ nhắm mục tiêu các sản phẩm trong các danh mục ứng dụng doanh nghiệp, truyền thông doanh nghiệp, leo thang đặc quyền (EoP), máy chủ, ảo hóa và ô tô.

Pwn2Own Vancouver 2023 diễn ra từ ngày 22 tháng 3 đến ngày 24 tháng 3, với tổng giải thưởng tối đa mà những người chơi có thể giành được là 1.080.000 đô tiền mặt cùng với các giải thưởng hiện vật khác, bao gồm một chiếc ô tô Tesla Model 3. Phần thưởng cao nhất cho việc hack một chiếc Tesla là 150.000 đô và chính chiếc xe đó.

Sau khi các lỗ hổng zero-day được thử nghiệm và tiết lộ trong Pwn2Own, các nhà cung cấp có 90 ngày để sửa và phát hành các bản vá bảo mật cho tất cả các lỗ hổng được báo cáo trước khi Zero Day Initiative của Trend Micro tiết lộ công khai chúng.

Trong cuộc thi Vancouver Pwn2Own năm ngoái, các nhà nghiên cứu đã giành được 1.155.000 đô sau khi hack Windows 11 sáu lần, Ubuntu Desktop bốn lần và thử nghiệm thành công 3 zero-day nhằm vào Microsoft Teams. Họ cũng đã báo cáo một số lỗ hổng trong Apple Safari, Oracle Virtualbox và Mozilla Firefox và đã hack Hệ thống thông tin giải trí Tesla Model 3.

Nguồn: bleepingcomputer.com

scrolltop