Хакеры взломали Windows 11, Tesla и Ubuntu: гран-при в первый день Pwn2Own

В первый день соревнования Pwn2Own в Ванкувере в 2024 году участники продемонстрировали 19 уязвимостей нулевого дня в Windows 11, автомобилях Tesla и Ubuntu. За свои находки специалисты получили награды на общую сумму $732 500 и автомобиль Tesla Model 3.

Соревнования открыл Абдул Азиз Харири из Haboob SA, который использовал эксплойт для Adobe Reader, сочетающий обход ограничений API и уязвимость инъекции команд, что позволило выполнить код на macOS и заработать $50 000.

Компания Synacktiv выиграла Tesla Model 3 и $200 000, взломав электронный блок управления Tesla менее чем за 30 секунд с помощью целочисленного переполнения.

Исследователи безопасности из Theori заработали $130 000 долларов, совершив выход из виртуальной машины VMware Workstation и добившись выполнения кода в системе Windows на хосте, используя цепочку уязвимостей – ошибка неинициализированной переменной, Use-After-Free (UAF) и переполнение буфера на основе кучи (Heap-based Buffer Overflow).

Исследователи безопасности из Reverse Tactics получили $90 000 за эксплуатацию двух уязвимостей в Oracle VirtualBox и одной в Windows (UAF) для выхода из виртуальной машины и повышения привилегий до уровня SYSTEM.

Первый день соревнований завершился взломом веб-браузеров Apple Safari, Google Chrome и Microsoft Edge Манфредом Паулом, который использовал 3 уязвимости нулевого дня и выиграл $102 500.

Пятерка лидеров Pwn2Own

Кроме того, участники первого дня продемонстрировали другие впечатляющие достижения, включая повышение привилегий до уровня SYSTEM на полностью обновленной системе Windows 11, за что команда DEVCORE Research Team получила $30 000. Также были продемонстрированы уязвимости в Google Chrome, Ubuntu Linux и Oracle VirtualBox, которые принесли специалистам от $20 000 до $60 000.

После демонстрации уязвимостей на Pwn2Own производителям даётся 90 дней на создание и выпуск исправлений безопасности для всех обнаруженных недостатков, прежде чем они будут опубликованы.

На соревновании Pwn2Own Vancouver 2024 исследователи безопасности будут атаковать актуальные версии продуктов в различных категориях, включая веб-браузеры, виртуализацию, корпоративные приложения и автомобили. На кону в течение двух дней соревнований — более $1,3 млн. и автомобиль Tesla Model 3.