Vào ngày thứ ba và là ngày cuối cùng của cuộc thi hack Pwn2Own Vancouver 2022, các nhà nghiên cứu bảo mật đã hack thành công hệ điều hành Windows 11 của Microsoft thêm ba lần nữa bằng cách sử dụng khai thác zero-day.
Nỗ lực đầu tiên trong ngày nhắm mục tiêu Nhóm Microsoft đã thất bại sau khi Nhóm DoubleDragon không chứng minh được khả năng khai thác của họ trong thời gian quy định.
Tất cả các thí sinh khác đã hack mục tiêu của họ và giành được 160.000 đô la sau khi gỡ bỏ Windows 11 ba lần và Ubuntu Desktop một lần.
Người đầu tiên chứng minh sự leo thang đặc quyền 0 ngày của Windows 11 (thông qua Integer Overflow) vào ngày thứ ba của Pwn2Own là nghiadt12 từ Viettel Cyber Security.
Bruno Pujos và vinhthp1712 của REverse Tactics cũng đã tăng đặc quyền trong Windows 11 bằng cách sử dụng lần lượt các lỗ hổng Kiểm soát truy cập không thích hợp và Sử dụng Sau khi Miễn phí.
Cuối cùng nhưng không kém phần quan trọng, Billy Jheng Bing-Jhong của STAR Labs đã xâm nhập vào hệ thống chạy Ubuntu Desktop bằng cách khai thác Use-After-Free.
Pwn2Own 2022 Vancouver đã kết thúc với 17 đối thủ cạnh tranh kiếm được tổng cộng 1.155.000 đô la cho các chuỗi khai thác và khai thác zero-day được chứng minh trong ba ngày sau 21 lần thử, từ ngày 18 đến 20 tháng 5.
Vào ngày đầu tiên của Pwn2Own, tin tặc đã kiếm được 800.000 USD sau khi khai thác thành công 16 lỗi zero-day để hack nhiều sản phẩm, bao gồm hệ điều hành Windows 11 của Microsoft và nền tảng giao tiếp Teams, Ubuntu Desktop, Apple Safari, Oracle Virtualbox và Mozilla Firefox.
Vào ngày thứ hai, các thí sinh đã giành được 195.000 đô la sau khi chứng minh được những sai sót trong hệ thống thông tin giải trí Telsa Model 3, Ubuntu Desktop và Microsoft Windows 11.
Các nhà nghiên cứu bảo mật đã chứng minh sáu lần khai thác Windows 11 trong cuộc thi, hack Ubuntu Desktop bốn lần và chứng minh ba Microsoft Teams zero-days. Họ cũng báo cáo một số lỗi trong Apple Safari, Oracle Virtualbox và Mozilla Firefox.
Sau khi các lỗ hổng được khai thác và báo cáo trong Pwn2Own, các nhà cung cấp có 90 ngày để phát hành các bản sửa lỗi bảo mật cho đến khi chúng được phát hành công khai theo sáng kiến Zero Day của Trend Micro.
Vào tháng 4, tin tặc cũng đã giành được 400.000 đô la cho 26 lần khai thác zero-day nhắm mục tiêu vào các sản phẩm ICS và SCADA được trình diễn trong cuộc thi Pwn2Own Miami 2022 từ ngày 19 đến ngày 21 tháng 4.
Văn bản được dịch bằng Google Dịch.
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
Nguồn