چه اتفاقی افتاده؟ مسابقه هک Pwn2Own امسال در ونکوور بیش از 1 میلیون دلار به محققان برای کشف و بهره برداری از بسیاری از آسیب پذیری های امنیتی روز صفر ناشناخته قبلی اهدا کرد. بیش از نیمی از این پول به یک تیم اختصاص یافت.
Pwn2Own یک مسابقه هک سالانه است که توسط Trend Micro’s Zero Day Initiative (ZDI) در طول کنفرانس امنیتی CanSecWest در ونکوور برگزار می شود. هرساله، محققان امنیتی و کارشناسان کد به نبرد دیجیتال میپیوندند و امیدوارند به امتیازات بزرگی دست یابند و برخی از جوایز نقدی فراوان ارائه شده توسط ZDI را برنده شوند. پنج تیم از کارشناسان امنیتی در سال جاری چندین هک در محصولات نرم افزاری و فناوری محبوب را افشا کردند.
تا پایان این رویداد سه روزه، شرکت کنندگان 27 آسیب پذیری منحصر به فرد روز صفر را که مجموعاً 1035000 دلار (و ماشین هک شده) را تقسیم می کرد، افشا کردند. عنوان “Masters of Pwn” به تیم تست نفوذ Synacktiv رسید که 53 امتیاز Master of Pwn، 530000 دلار و تسلا مدل 3 کسب کرد.
Synacktiv در روز اول زمانی که تیمش یک تسلا مدل 3 را به خطر انداخت و از امتیازات دسترسی در macOS فرار کرد، پیشتاز شد. در روز دوم، Synacktiv با نشان دادن سرریز پشته و زنجیره بهره برداری روز صفر نوشتن OOB در برابر سیستم اطلاعات سرگرمی تسلا، برتری خود را بیشتر تقویت کرد.
کد شکن های Synacktiv توماس ایمبرت و توماس بوزرار همچنین توانستند یک زنجیره سه باگ را برای افزایش امتیازات در Oracle VirtualBox به ارزش 80000 دلار نشان دهند. Tanguy Dubroca برای نمایش موفقیت آمیز افزایش امتیازات در دسک تاپ اوبونتو 30000 دلار به دست آورد. در پایان روز سوم، توماس ایمبرت 30000 دلار دیگر برای به خطر انداختن موفقیت آمیز سیستم ویندوز 11 به طور کامل وصله شده با یک باگ استفاده پس از رایگان روز صفر دریافت کرد.
Star Labs پس از بهرهبرداری از نقصهای روز صفر در Microsoft SharePoint و VMWare Workstation، بهعلاوه برخوردی که قبلاً در دسکتاپ اوبونتو شناخته شده بود، با کسب 195000 دلار و 19.5 امتیاز MoP، در رتبه دوم قرار گرفت. تیم ویتل با هک کردن Microsoft Teams و Oracle VirtualBox با 115000 دلار و کسب 12 امتیاز MoP مقام سوم را به خود اختصاص داد. عبدالعزیز حریری، محقق Qrious Security و تنها، به ترتیب با 55000 دلار (5.5 امتیاز) و 50000 دلار (5 امتیاز) مسابقه را در جایگاه چهارم و پنجم به پایان رساند.
Zero Day Initiative اکنون جزئیات تمام 27 آسیبپذیری روز صفر را که در Pwn2Own 2023 نمایش داده شدهاند در اختیار فروشندگان نرمافزار مربوطه خود قرار میدهد. شرکتها ۹۰ روز فرصت خواهند داشت تا این نقصها را برطرف کرده و وصلههای امنیتی خود را قبل از افشای عمومی ZDI، بدون توجه به در دسترس بودن وصله، منتشر کنند.