maart 28, 2024

Groenhuis

Groenhuis is de toonaangevende aanbieder van kwalitatief Nederlands nieuws in het Engels voor een internationaal publiek.

Microsoft Teams, Virtualbox en Tesla zijn allemaal uitgebuit in Pwn2Own

Microsoft Teams, Virtualbox en Tesla zijn allemaal uitgebuit in Pwn2Own

Tijdens dag 2 van Pwn2Own Vancouver 2023 ontvingen concurrenten $ 475.000 na het succesvol exploiteren van 10 dagen nul voor meerdere producten.

De gehackte doelen waren onder meer de Tesla Model 3, het Microsoft Teams-communicatieplatform, het virtuele Oracle VirtualBox-platform en het Ubuntu Desktop-besturingssysteem.

Het hoogtepunt van dag twee was een succesvolle poging van Synacktiv’s David Berard (@_p0ly_) en Vincent Dehors (@medewerker) tegen Tesla – de wortel van het ongeremde infotainment.

Dit leverde hen $ 250.000 op en stelde hen in staat een Tesla Model 3 te bemachtigen na hacking via de overflow-stack en het schrijven van een OOB-exploitstring.

Thomas Imbert van Synacktiv (@medewerker) en Thomas Boozer (@medewerker) maakte ook met succes gebruik van een reeks van drie privilege-escalatiefouten op een Oracle VirtualBox-host om $ 80.000 te verdienen.

Bij een derde poging van Synacktiv, Tanguy Dubroca (@medewerker) werd $ 30.000 toegekend voor de demonstratie van een onjuiste zero-day benchmark resulterend in privilege-escalatie op de Ubuntu-desktop.

Zero Day Tesla infotainment-demo van Synacktiv (ZDI)

Vettel-team (@medewerker) ook Microsoft Teams gehackt via een Series 2-bug om $ 78.000 te verdienen en Oracle’s VirtualBox met een use-after-free (UAF) bug en een niet-geïnitialiseerde variabele voor $ 40.000.

Op dag 1 ontvingen Pwn2Own-deelnemers $ 375.000 en een Tesla Model 3-auto na het succesvol pitchen van 12 Zero Days in Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox en macOS.

Op de laatste dag van de wedstrijd zullen beveiligingsonderzoekers zero-day exploits proberen in Ubuntu Desktop, Microsoft Teams, Windows 11 en VMware Workstation.

Pwn2Own Vancouver 2023 Deelnemers kunnen tussen 22 en 24 maart $ 1.080.000 in contanten en twee Tesla Model 3-auto’s winnen.

READ  Nintendo overweegt 'verschillende initiatieven' en 'verdere verbeteringen' voor Switch Online

Onderzoekers Producten zullen gericht zijn uit meerdere categorieën tijdens de competitie, waaronder Enterprise Applications, Enterprise Communications, Servers, Virtualization, Automotive en Local Privilege (EoP) Escalation.

“Het evenement van dit jaar belooft spannend onderzoek, aangezien we 19 inzendingen hebben gericht op negen verschillende doelen – waaronder twee Tesla-pogingen”, zei ZDI.

“Voor het evenement van dit jaar betaalt elke ronde de volle prijs, wat betekent dat als alle exploits succesvol zijn, we meer dan $ 1.000.000 USD zullen toekennen.”

Leveranciers moeten geteste zero-day-kwetsbaarheden patchen en deze openbaar maken via Pwn2Own binnen 90 dagen voordat het Zero Day Initiative van Trend Micro technische details openbaar maakt.

Op Pwn2Own Vancouver 2022 verdienden beveiligingsonderzoekers $ 1.155.000 nadat een Tesla Model 3 Infotainmentsysteem was gehackt, waarbij Windows 11 zes keer crashte, drie Microsoft Teams nul dagen vertoonde en Ubuntu Desktop vier keer misbruikte.