Trong ngữ cảnh: Pwn2Own là cuộc thi hack hàng năm được tổ chức tại hội nghị bảo mật CanSecWest ở Vancouver. Sự kiện này thường tổ chức các lập trình viên và nhà nghiên cứu nổi tiếng, những người có thể thể hiện kỹ năng của họ bằng cách tìm và khai thác các lỗ hổng bảo mật trong các nền tảng phần mềm và sản phẩm công nghệ phổ biến.
Sáng kiến Zero Day (ZDI) của Trend Micro đã công bố những người chiến thắng vòng đầu tiên của Pwn2Own 2023. Năm người tham gia kiếm được 375.000 USD tiền thưởng từ tổng số tiền hơn 1 triệu USD bằng cách hack các hệ điều hành, chương trình phần mềm phổ biến rộng rãi và một chiếc ô tô Tesla Model 3. Các tin tặc đã tìm thấy tất cả 12 lỗ hổng zero-day.
Công ty bảo mật tấn công Synacktiv đã xâm phạm Tesla Model 3 bằng cuộc tấn công TOCTOU (thời gian kiểm tra đến thời gian sử dụng) trong danh mục Ô tô, sau đó thoát khỏi các đặc quyền truy cập trên macOS. Đội giành được nhiều tiền nhất, bỏ túi 140.000 USD và chiếc Tesla bị tấn công. Chiến thắng của nó đưa nó lên đầu bảng xếp hạng với 14 điểm “Master of Pwn” trong ngày.
Nhóm STAR Labs đã giành được 115.000 USD và 11,5 điểm MoP với chuỗi khai thác 0 ngày nhắm mục tiêu vào Microsoft SharePoint và hack thành công hệ điều hành Ubuntu Desktop bằng một khai thác đã biết trước đó. Nó sẽ bước vào Ngày thứ hai của cuộc thi ở vị trí thứ hai.
Thế là kết thúc ngày đầu tiên của #P2OVancouver 2023! Chúng tôi đã trao 375.000 USD (và một chiếc Tesla Model 3!) cho 12 ngày không thành công trong ngày đầu tiên của cuộc thi. Hãy theo dõi ngày thứ hai của cuộc thi vào ngày mai! #Pwn2Own pic.twitter.com/UTvzqxmi8E
– Sáng kiến Ngày Không (@thezdi) Ngày 22 tháng 3 năm 2023
Vị trí thứ ba thuộc về cá nhân nhà nghiên cứu bảo mật Abdul Aziz Hariri. Hariri đã kiếm được 50.000 USD và 5 điểm MoP bằng cách chứng minh một khai thác trong Adobe Reader cho phép anh ta lạm dụng nhiều bản vá “không thành công”, thoát khỏi hộp cát của chương trình và vượt qua danh sách API bị cấm trên macOS.
Đứng thứ tư và thứ năm trên bảng xếp hạng là nhà nghiên cứu Bien Pham của Qrious Security và hacker cá nhân Marcin Wiazowski. Pham đã giành được 40.000 USD bằng cách hack máy ảo VM VirtualBox của Oracle thông qua OOB Read và lỗi tràn bộ đệm dựa trên xếp chồng. Wiazowski đã nâng cao thành công các đặc quyền của người dùng trong Windows 11 với lỗ hổng zero-day xác thực đầu vào không đúng cách trị giá 30.000 USD. Thật không may, bốn điểm của Pham và ba điểm Master of Pwn của Wiazowski khiến cặp đôi có một khoảng cách lớn để giành vị trí thứ nhất hoặc thứ hai chung cuộc.
Sáng kiến Zero Day sẽ tiết lộ chi tiết về các lỗ hổng zero-day được demo trong Pwn2Own 2023 cho các nhà cung cấp phần mềm tương ứng của họ. Các nhà phát triển sẽ có 90 ngày để phát hành các bản vá bảo mật. Tổ chức sẽ tiết lộ công khai các lỗ hổng sau thời hạn này, bất kể trạng thái bản vá.
Trong ba ngày của nó lịch trình, Pwn2Own 2023 sẽ tổ chức các cuộc biểu tình về các cuộc tấn công có chủ đích trong các danh mục như ứng dụng doanh nghiệp và liên lạc, leo thang đặc quyền cục bộ, máy chủ, ảo hóa và ô tô. Vào năm 2022, lễ hội hack Vancouver đã trao 1.155.000 USD cho các nhà nghiên cứu bảo mật.
