No contexto: Pwn2Own é um concurso anual de hackers realizado na conferência de segurança CanSecWest de Vancouver. O evento geralmente hospeda codificadores e pesquisadores de alto nível que podem demonstrar suas habilidades encontrando e explorando vulnerabilidades de segurança em plataformas de software e produtos de tecnologia populares.
A Zero Day Initiative (ZDI) da Trend Micro anunciou os vencedores da primeira rodada do Pwn2Own 2023. Cinco participantes ganharam $ 375.000 em prêmios em dinheiro de um pool de mais de $ 1 milhão por hackear sistemas operacionais amplamente populares, programas de software e um carro Tesla Model 3. Os hackers encontraram 12 vulnerabilidades de dia zero no total.
A empresa de segurança ofensiva Synacktiv comprometeu um Tesla Model 3 com um ataque TOCTOU (time-of-check to time-of-use) na categoria automotiva e escapou dos privilégios de acesso no macOS. A equipe ganhou mais dinheiro, embolsando $ 140.000 e o Tesla hackeado. Suas vitórias o colocaram em primeiro lugar na tabela de classificação com 14 pontos “Master of Pwn” no dia.
A equipe do STAR Labs ganhou $ 115.000 e 11,5 pontos MoP com uma cadeia de exploração de dia zero visando o Microsoft SharePoint e hackeando com sucesso o sistema operacional Ubuntu Desktop com uma exploração anteriormente conhecida. Ele entrará no segundo dia da competição em segundo lugar.
Isso encerra o primeiro dia de #P2OVancouver 2023! Concedemos $ 375.000 (e um Tesla Model 3!) Por 12 dias zero durante o primeiro dia do concurso. Fique ligado no segundo dia do concurso amanhã! #Pwn2Own pic.twitter.com/UTvzqxmi8E
— Iniciativa Zero Day (@thezdi) 22 de março de 2023
O terceiro lugar vai para o pesquisador de segurança individual Abdul Aziz Hariri. Hariri ganhou $ 50.000 e 5 pontos MoP ao demonstrar uma exploração no Adobe Reader que lhe permitiu abusar de vários patches “com falha”, escapar da caixa de proteção do programa e ignorar uma lista de APIs proibidas no macOS.
Em quarto e quinto lugar na tabela de classificação estão o pesquisador da Qrious Security, Bien Pham, e o hacker individual Marcin Wiazowski. Pham ganhou $ 40.000 hackeando o VM VirtualBox da Oracle por meio de uma leitura OOB e um estouro de buffer baseado em pilha. Wiazowski elevou com sucesso os privilégios do usuário no Windows 11 com uma falha de dia zero de validação de entrada imprópria no valor de $ 30.000. Infelizmente, os quatro pontos de Pham e os três pontos Master of Pwn de Wiazowski deixam a dupla com uma grande diferença para chegar ao primeiro ou segundo lugar geral.
A Zero Day Initiative divulgará os detalhes das vulnerabilidades de dia zero demonstradas durante o Pwn2Own 2023 para seus respectivos fornecedores de software. Os desenvolvedores terão 90 dias para liberar patches de segurança. A organização divulgará publicamente as falhas após esse prazo, independentemente do status do patch.
Durante sua programação de três dias, o Pwn2Own 2023 apresentará demonstrações de ataques direcionados em categorias como aplicativos corporativos e comunicação, escalonamento de privilégios locais, servidor, virtualização e automotivo. Em 2022, o hack fest de Vancouver concedeu US$ 1.155.000 a pesquisadores de segurança.