Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zakończyła się konferencja Pwn2Own Vancouver 2024
W Vancouver (Kanada) podczas konferencji CanSecWest 2024 w dniach 20-22 marca 2024 miała miejsce kolejna edycja konkursu Pwn2Own. Są to cykliczne zawody odbywające się od 2007 roku, w których uczestnicy przedstawiają swoje eksploity na podatności typu 0day. Celem ataku jest oprogramowanie (systemy operacyjne, przeglądarki internetowe, programy biurowe) oraz urządzenia takie jak routery, drukarki, kamery, samochody itp. (tutaj warto wspomnieć o oddzielnej edycji Automotive, która skupia się na branży samochodowej i w tym roku odbyła się w Japonii). Na autorów czekają wysokie nagrody pieniężne oraz przejęte urządzenia na własność. Luki zaprezentowane podczas konkursu są następnie odpowiedzialnie zgłaszane producentom, aby mogli oni powziąć odpowiednie kroki i naprawić swoje produkty. W tym roku doszła nowa kategoria Cloud-native/container, pozwalająca wykazać się hakerom, którzy specjalizują się w tej dziedzinie. Sposób naliczania nagród pieniężnych oraz punktów został przedstawiony na blogu Zero Day Initiative.
Sumarycznie na nagrody przeznaczono 1.3 miliona dolarów oraz Teslę Model 3, którym odjechała ekipa Synacktiv. Na celowniku badaczy znalazły się między innymi najnowsze systemy operacyjne Windows 11, Ubuntu Desktop, popularne hypervisory jak VMware Workstation czy Oracle VirtualBox. W przypadku RCE w przeglądarce można dodatkowo podbić sobie liczbę punktów oraz wysokość nagrody przy pomocy sprawnej ucieczki do systemu hosta. Poległy też najpopularniejsze przeglądarki – Apple Safari, Google Chrome czy Microsoft Edge. Teraz programiści mają 90 dni na załatanie wykrytych podatności.
Tegoroczną edycję wygrał Manfred Paul, uzyskując 25 punktów i zarabiając ponad $200 000 za sprawą ataków na przeglądarki internetowe. Dobra informacja jest taka, że Mozilla załatała już dwie podatności (CVE-2024-29943 i CVE-2024-29944) zaprezentowane podczas konkursu.
Marcin Wiązowski już po raz kolejny zaprezentował się wybitnie, pokazując skuteczny eksploit na podniesienie uprawnień w Windows 11. Serdecznie gratulujemy i trzymamy kciuki za kolejne sukcesy!
~fc