Vào ngày thứ ba của cuộc thi hack Pwn2Own, các nhà nghiên cứu bảo mật đã giành được 185.000 đô tiền thưởng sau khi thử nghiệm thành công 5 khai thác zero-day nhắm vào Windows 11, Ubuntu Desktop và phần mềm ảo hóa VMware Workstation.
Trong hôm đó, hệ điều hành Ubuntu Desktop đã bị tấn công ba lần bởi ba đội chơi khác nhau, một trong số đó bị trùng với một khai thác đã được thực hiện trước đó.
Ba lỗ hổng zero-day của Ubuntu đã được thử nghiệm bởi Kyle Zeng của ASU SEFCOM (lỗi double free), Mingi Cho của Theori (lỗ hổng Use-After-Free) và Bien Pham (@bienpnn) của Qrious Security.
Hai nhà nghiên cứu đầu tiên đã nhận về mỗi người 30.000 đô cho khai thác zero-day của họ, Bien Pham chỉ giành được 15.000 đô do bị trùng.
Windows 11 được cập nhật bản vá đầy đủ đã bị tấn công lại tại Pwn2Own bởi Thomas Imbert (@masthoon) từ Synacktiv (@Synacktiv) thông qua lỗi Use-After-Free (UAF). Imbert đã nhận được 30.000 đô cho khai thác này.
Cuối cùng, nhóm STAR Labs @starlabs_sg) đã sử dụng chuỗi khai thác UAF để tấn công VMWare Workstation và giành giải thưởng trị giá 80.000 đô.
Vào ngày đầu tiên, các nhà nghiên cứu tham gia Pwn2Own Vancouver 2023 đã giành được 375.000 đô và một chiếc Tesla Model 3 sau khi chứng minh khai thác thành công 12 zero-day trong Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox và macOS.
Trong ngày thứ hai, các đội chơi đã giành được 475.000 đô tiền thưởng sau khi khai thác 10 lỗ hổng zero-day trong nhiều sản phẩm, bao gồm Windows 11, Tesla, Ubuntu và macOS.
Tổng giải thưởng mà các nhà nghiên cứu nhận được lên tới 1.035.000 đô và một chiếc ô tô cho 27 lần khai thác zero-day được thử nghiệm trong ba ngày của cuộc thi Pwn2Own Vancouver 2023.
Đội chiến thắng trong cuộc thi là Synacktiv, với 530.000 đô tiền thưởng và một chiếc ô tô Tesla Model 3 nhờ thành tích của họ.
Top 5 đội chơi trong bảng xếp hạng Pwn2Own Vancouver 2023 (ZDI)
Tại Pwn2Own Vancouver 2023, các nhà nghiên cứu bảo mật đã nhắm mục tiêu phần mềm từ nhiều danh mục, bao gồm ô tô, ứng dụng doanh nghiệp và truyền thông, máy chủ, ảo hóa và leo thang đặc quyền (EoP).
Các nhà cung cấp có 90 ngày để vá các lỗ hổng zero-day được thử nghiệm và báo cáo trong Pwn2Own trước khi Zero Day Initiative (ZDI) của Trend Micro tiết lộ chi tiết kỹ thuật về chúng.
Tại cuộc thi hack Pwn2Own Vancouver năm ngoái, các nhà nghiên cứu đã giành được 1.155.000 đô tiền thưởng sau khi hack thành công Hệ thống thông tin giải trí Tesla Model 3, Windows 11, Microsoft Teams và Ubuntu Desktop bằng cách sử dụng nhiều lỗ hổng zero-day và các chuỗi khai thác.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Phần mềm trojan giả dạng tiện ích bổ sung ChatGPT hợp pháp dành cho Chrome đã được đưa lên Cửa hàng Chrome trực tuyến (Chrome Web Store) và có hơn 9.000 lượt tải xuống.
Tín nhiệm mạng | Vào ngày đầu tiên của Pwn2Own Vancouver 2023, các nhà nghiên cứu bảo mật đã thử nghiệm thành công các chuỗi khai thác và khai thác zero-day cho Tesla Model 3, Windows 11 và macOS để giành được 375.000 đô và một chiếc Tesla Model 3.
Tín nhiệm mạng | Nhà sản xuất máy ATM Bitcoin General Bytes cho biết tin tặc đã đánh cắp tiền điện tử từ công ty và khách hàng của họ bằng cách khai thác một lỗ hổng zero-day trong nền tảng quản lý BATM của họ.
Tín nhiệm mạng | Mispadu đang được sử dụng trong các chiến dịch thư rác nhắm mục tiêu đến các quốc gia như Bolivia, Chile, Mexico, Peru và Bồ Đào Nha để đánh cắp thông tin đăng nhập và phát tán các loại mã độc khác.
Tín nhiệm mạng | Các nhà nghiên cứu đã phát hiện hoạt động khai thác một lỗ hổng zero-day hiện đã được vá trong hệ điều hành Fortinet FortiOS và nghi ngờ nó có liên quan đến một nhóm tin tặc Trung Quốc đang được theo dõi dưới tên UNC3886.
Tín nhiệm mạng | Winter Vivern APT đã nhắm mục tiêu vào các tổ chức chính phủ Châu Âu và các nhà cung cấp dịch vụ viễn thông để tiến hành hoạt động gián điệp
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
