11월 16, 2024

Wpick

지상에서 한국의 최신 개발 상황을 파악하세요

Microsoft Teams, Virtualbox 및 Tesla는 모두 Pwn2Own에서 악용되었습니다.

Microsoft Teams, Virtualbox 및 Tesla는 모두 Pwn2Own에서 악용되었습니다.

Pwn2Own Vancouver 2023 2일차 동안 여러 제품에서 10일 동안 제로를 성공적으로 활용한 후 경쟁자들이 475,000달러를 받았습니다.

해킹 대상에는 Tesla Model 3, Microsoft의 Teams 통신 플랫폼, Oracle VirtualBox 가상 플랫폼 및 Ubuntu Desktop 운영 체제가 포함되었습니다.

둘째 날의 하이라이트는 Synacktiv의 David Berard(@_p0ly_) 및 Vincent Dehors(@트위터) 테슬라 반대 – 무제한 인포테인먼트의 뿌리.

이를 통해 $250,000를 벌고 오버플로 스택을 통해 해킹하고 OOB 익스플로잇 문자열을 작성한 후 Tesla Model 3를 얻을 수 있었습니다.

Synacktiv의 Thomas Imbert(@트위터) 및 토마스 부저(@트위터)는 또한 Oracle VirtualBox 호스트에서 일련의 세 가지 권한 에스컬레이션 오류를 성공적으로 악용하여 $80,000를 벌었습니다.

Synacktiv의 세 번째 시도에서 Tanguy Dubroca(@트위터)는 Ubuntu 데스크톱에서 권한 상승을 초래하는 잘못된 제로 데이 벤치마크를 시연하여 $30,000를 받았습니다.

Synacktiv(ZDI)의 Zero Day Tesla 인포테인먼트 데모

베텔팀(@트위터)는 또한 Series 2 버그를 통해 Microsoft Teams를 해킹하여 $78,000를 벌었고 Oracle의 VirtualBox는 UAF(use-after-free) 버그와 초기화되지 않은 변수로 $40,000를 벌었습니다.

1일 차에 Pwn2Own 경쟁업체는 Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox 및 macOS에서 12개의 Zero Days를 성공적으로 피칭한 후 $375,000와 Tesla Model 3 자동차를 받았습니다.

대회 마지막 날에 보안 연구원들은 Ubuntu Desktop, Microsoft Teams, Windows 11 및 VMware Workstation에서 제로데이 익스플로잇을 시도합니다.

Pwn2Own 밴쿠버 2023 참가자는 3월 22일부터 3월 24일까지 현금 $1,080,000와 테슬라 모델 3 자동차 2대를 받을 수 있습니다.

연구원 제품이 타겟팅됩니다. 엔터프라이즈 애플리케이션, 엔터프라이즈 커뮤니케이션, 서버, 가상화, 자동차 및 EoP(Local Privilege) 에스컬레이션을 포함하여 경쟁 기간 동안 여러 카테고리에서

ZDI는 “올해 행사는 9개의 서로 다른 목표를 목표로 하는 19개의 출품작이 있기 때문에 몇 가지 흥미로운 연구를 약속합니다. 여기에는 2개의 Tesla 시도가 포함됩니다.

“올해 이벤트의 경우 각 라운드는 전액을 지불할 것입니다. 즉, 모든 익스플로잇이 성공하면 미화 1,000,000달러 이상을 상금으로 받게 됩니다.”

공급업체는 패치 테스트를 거친 제로데이 취약점을 패치하고 Trend Micro의 Zero Day Initiative가 기술 세부 정보를 공개하기 전 90일 이내에 Pwn2Own을 통해 이를 공개해야 합니다.

Pwn2Own Vancouver 2022에서 보안 연구원들은 Tesla Model 3 인포테인먼트 시스템이 해킹되어 Windows 11이 6번 충돌하고 3개의 Microsoft Teams가 제로데이를 보여주고 Ubuntu Desktop을 4번 악용한 후 1,155,000달러를 벌었습니다.