Na hakerów uczestniczących w zawodach Pwn2Own nie ma mocnych. Od lat udaje im się exploitować luki w największych systemach, maszynach wirtualnych i programach, wliczając w to produkty Microsoftu. Tak również było pierwszego dnia tegorocznej edycji Pwn2Own. Jaki software udało się złamać tym razem?
Pwn2Own to doroczny event hakerski, na którym uczestnicy i specjaliści cyberbezpieczeństwa demonstrują umiejętności w wykorzystywaniu bugów, podatności zero-day i innych luk, by legalnie włamywać się w różnego typu oprogramowanie oraz zdobywać uznanie i nagrody pieniężne. Jeśli chodzi o produkty Microsoftu, pierwszego dnia Pwn2Own 2022 udało się złamać zabezpieczenia Microsoft Teams i Windows 11.
Hector "p3rro" Peralta, był pierwszym, który z powodzeniem zaatakował Microsoft Teams. Zademonstrował on nieprawidłową konfigurację i zgarnął 150 tys. dolarów nagrody. Komunikator padł też ofiarą Masato Kinugawy, który wykonał 3-stopniowy łańcuch składający się z infekcji, błędnej konfiguracji i ucieczki z sandboksa. Kolejni uczestnicy, Daniel Lim Wee Soong, Poh Jia Hao i Li Jiantao, zademonstrowali exploity zero-click na dwa bugi.
Windows 11 również nie wykazał się odpornością na ataki. Mimo całej gamy zaawansowanych zabezpieczeń w najnowszym systemie Marcinowi Wiązowskiemu udało się podnieść uprawnienia za pomocą metody out-of-bounds write, za co zdobył 40 tys. dolarów i wysokie uznanie Microsoftu.
Pierwszego dnia eventu hakerom udało się również złamać zabezpieczenia Oracle Virtualbox, Mozilla Firefox, Ubuntu Desktop i Apple Safari. W sumie hakerzy zgarnęli 800 tys. dolarów i wykorzystali 16 podatności zero-day w różnych produktach. W kolejnych dwóch dniach mogą zdobyć jeszcze ponad milion, włamując się do innych rodzajów software'u, gadżetów i samochodów (w tym Tesla Model 3 i Model S).
341f31d.png)