Vào ngày đầu tiên của Pwn2Own Vancouver 2023, các nhà nghiên cứu bảo mật đã thử nghiệm thành công các chuỗi khai thác và khai thác zero-day cho Tesla Model 3, Windows 11 và macOS để giành được 375.000 đô và một chiếc Tesla Model 3.
Adobe Reader là ứng dụng đầu tiên bị khai thác trong danh mục các ứng dụng doanh nghiệp sau khi Abdul Aziz Hariri của Haboob SA @abdhariri) sử dụng chuỗi khai thác kết hợp từ 6 lỗi logic, lạm dụng nhiều bản vá chưa hoàn chỉnh, để thoát sandbox và vượt qua danh sách API bị cấm trên macOS để giành được 50.000 đô tiền thưởng.
Nhóm STAR Labs (@starlabs_sg) đã thử nghiệm thành công một chuỗi khai thác zero-day nhắm vào nền tảng SharePoint của Microsoft và nhận được 100.000 đô. Ngoài ra, nhóm cũng đã tấn công thành công Ubuntu Desktop bằng một khai thác đã biết trước đó và giành được thêm 15.000 đô.
Synacktiv (@Synacktiv) đã nhận được 100.000 đô và một chiếc Tesla Model 3 sau khi thực hiện thành công cuộc tấn công TOCTOU nhằm vào Tesla - Gateway trong danh mục Ô tô. Họ cũng đã sử dụng lỗ hổng zero-day của TOCTOU để leo thang đặc quyền trên Apple macOS và giành thêm 40.000 đô.
Bien Pham (@bienpnn) của Qrious Security cũng nhận được 40.000 đô cho thử nghiệm tấn công Oracle VirtualBox bằng cách sử dụng OOB Read và chuỗi khai thác lỗ hổng tràn bộ đệm stack.
Cuối cùng, Marcin Wiązowski đã leo thang đặc quyền thành công trên Windows 11 bằng cách khai thác lỗ hổng zero-day thiếu kiểm tra xác thực đầu vào và nhận về 30.000 đô.
Trong suốt cuộc thi Pwn2Own Vancouver 2023, các nhà nghiên cứu bảo mật sẽ nhắm mục tiêu các sản phẩm trong các danh mục ứng dụng doanh nghiệp, truyền thông doanh nghiệp, leo thang đặc quyền (EoP), máy chủ, ảo hóa và ô tô.
Pwn2Own Vancouver 2023 diễn ra từ ngày 22 tháng 3 đến ngày 24 tháng 3, với tổng giải thưởng tối đa mà những người chơi có thể giành được là 1.080.000 đô tiền mặt cùng với các giải thưởng hiện vật khác, bao gồm một chiếc ô tô Tesla Model 3. Phần thưởng cao nhất cho việc hack một chiếc Tesla là 150.000 đô và chính chiếc xe đó.
Sau khi các lỗ hổng zero-day được thử nghiệm và tiết lộ trong Pwn2Own, các nhà cung cấp có 90 ngày để sửa và phát hành các bản vá bảo mật cho tất cả các lỗ hổng được báo cáo trước khi Zero Day Initiative của Trend Micro tiết lộ công khai chúng.
Trong cuộc thi Vancouver Pwn2Own năm ngoái, các nhà nghiên cứu đã giành được 1.155.000 đô sau khi hack Windows 11 sáu lần, Ubuntu Desktop bốn lần và thử nghiệm thành công 3 zero-day nhằm vào Microsoft Teams. Họ cũng đã báo cáo một số lỗ hổng trong Apple Safari, Oracle Virtualbox và Mozilla Firefox và đã hack Hệ thống thông tin giải trí Tesla Model 3.
Nguồn: bleepingcomputer.com
Tín nhiệm mạng | Nhà sản xuất máy ATM Bitcoin General Bytes cho biết tin tặc đã đánh cắp tiền điện tử từ công ty và khách hàng của họ bằng cách khai thác một lỗ hổng zero-day trong nền tảng quản lý BATM của họ.
Tín nhiệm mạng | Mispadu đang được sử dụng trong các chiến dịch thư rác nhắm mục tiêu đến các quốc gia như Bolivia, Chile, Mexico, Peru và Bồ Đào Nha để đánh cắp thông tin đăng nhập và phát tán các loại mã độc khác.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện hoạt động khai thác một lỗ hổng zero-day hiện đã được vá trong hệ điều hành Fortinet FortiOS và nghi ngờ nó có liên quan đến một nhóm tin tặc Trung Quốc đang được theo dõi dưới tên UNC3886.
Tín nhiệm mạng | Winter Vivern APT đã nhắm mục tiêu vào các tổ chức chính phủ Châu Âu và các nhà cung cấp dịch vụ viễn thông để tiến hành hoạt động gián điệp
Tín nhiệm mạng | Google đang cảnh báo về một loạt các lỗ hổng bảo mật nghiêm trọng trong chip Exynos của Samsung, một số trong đó có thể bị tin tặc khai thác từ xa để xâm phạm hoàn toàn điện thoại mà không yêu cầu bất kỳ tương tác nào của người dùng.
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật Patch Tuesday của tháng này để khắc phục 80 lỗ hổng bảo mật mới, hai trong số đó đã bị khai thác trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
