در متن: Pwn2Own یک مسابقه هک سالانه است که در کنفرانس امنیتی CanSecWest ونکوور برگزار می شود. این رویداد معمولا میزبان برنامهنویسها و محققینی است که میتوانند مهارتهای خود را با یافتن و بهرهبرداری از آسیبپذیریهای امنیتی در پلتفرمهای نرمافزاری و محصولات فناوری محبوب نشان دهند.
Trend Micro’s Zero Day Initiative (ZDI) برندگان دور اول Pwn2Own 2023 را اعلام کرد. پنج شرکتکننده با هک کردن سیستمعاملهای پرطرفدار، برنامههای نرمافزاری و خودروی تسلا مدل 3، مبلغ 375000 دلار جایزه از مجموع بیش از یک میلیون دلاری به دست آوردند. هکرها در مجموع 12 آسیب پذیری روز صفر پیدا کردند.
شرکت امنیتی تهاجمی Synacktiv یک تسلا مدل 3 را با حمله TOCTOU (زمان بررسی تا زمان استفاده) در دسته خودرو به خطر انداخت، سپس از امتیازات دسترسی در macOS فرار کرد. این تیم بیشترین پول را به دست آورد و 140000 دلار به جیب زد و تسلا هک شد. پیروزی های آن با 14 امتیاز “Master of Pwn” در روز اول را در جدول امتیازات قرار داد.
تیم STAR Labs 115,000 دلار و 11.5 امتیاز MoP را با یک زنجیره بهره برداری روز صفر که مایکروسافت شیرپوینت را هدف قرار داده و با موفقیت سیستم عامل دسکتاپ اوبونتو را با یک اکسپلویت شناخته شده هک کرد، به دست آورد. در روز دوم مسابقه در جایگاه دوم قرار خواهد گرفت.
که روز اول را به پایان می رساند #P2OVancouver 2023! ما 375000 دلار (و یک تسلا مدل 3!) برای 12 روز صفر در روز اول مسابقه اهدا کردیم. منتظر روز دوم مسابقه فردا باشید! #Pwn2Own pic.twitter.com/UTvzqxmi8E
– ابتکار روز صفر (@thezdi) 22 مارس 2023
رتبه سوم به عبدالعزیز حریری، محقق امنیت فردی اختصاص دارد. حریری با نشان دادن یک سوء استفاده در Adobe Reader که به او اجازه می داد از چندین وصله “شکست خورده” سوء استفاده کند، از سندباکس برنامه فرار کند و یک لیست API ممنوعه در macOS را دور بزند، 50000 دلار و 5 امتیاز MoP به دست آورد.
چهارمین و پنجمین جدول امتیازات، بین فام، محقق امنیتی Qrious و مارسین ویازوفسکی هکر فردی هستند. فام با هک VM VirtualBox Oracle از طریق یک OOB Read و یک سرریز بافر مبتنی بر انباشته، 40000 دلار برنده شد. Wiazowski با موفقیت در ویندوز 11 با یک نقص اعتبارسنجی ورودی نامناسب به ارزش 30000 دلار، امتیازات کاربر را افزایش داد. متأسفانه، چهار امتیاز فام و سه امتیاز Master of Pwn توسط ویازوفسکی، این جفت را با فاصله زیادی برای رسیدن به اول یا دوم مجموع میگذارند.
Zero Day Initiative جزئیات آسیبپذیریهای روز صفر را که در Pwn2Own 2023 به نمایش گذاشته شدهاند را برای فروشندگان نرمافزار مربوطه خود فاش میکند. توسعه دهندگان 90 روز فرصت خواهند داشت تا وصله های امنیتی را منتشر کنند. سازمان پس از این مهلت، بدون توجه به وضعیت وصله، ایرادات را به صورت عمومی افشا خواهد کرد.
Pwn2Own 2023 در طول برنامه سه روزه خود میزبان تظاهراتی برای حملات هدفمند در دسته هایی مانند برنامه های کاربردی سازمانی و ارتباطات، افزایش امتیازات محلی، سرور، مجازی سازی و خودرو خواهد بود. در سال 2022، جشنواره هک ونکوور 1،155،000 دلار به محققان امنیتی اهدا کرد.