Pwn2Own 2023參賽者三天內利用27個零日漏洞 贏得超過100萬美元獎金


今年在溫哥華舉行的Pwn2Own黑客大賽向發現和利用許多以前未知的零日安全漏洞的研究人員頒發超過100萬美元的獎金。這筆錢的一半以上給一個團隊。Pwn2Own是由趨勢科技的零日計劃(ZDI)在溫哥華CanSecWest安全會議期間舉辦的年度黑客大賽。

每年,安全研究人員和代碼專傢都會加入數字戰場,希望能大獲全勝,贏得ZDI提供的豐厚的現金獎勵。今年,五支安全專傢團隊揭露流行軟件和技術產品中的一些黑客行為。

2023-03-28-image-24-j.webp

在為期三天的活動結束時,參賽者披露27個獨特的零日漏洞,共分得103.5萬美元(和被黑的汽車)。滲透測試公司Synacktiv團隊獲得"Pwn大師"稱號,他們獲得53個Pwn大師積分、53萬美元和特斯拉Model 3汽車。

Synacktiv在第一天取得絕對的領先優勢,其團隊攻陷一輛特斯拉Model 3,並破解macOS的訪問權限。第二天,Synacktiv通過展示針對特斯拉信息娛樂系統的堆溢出和OOB寫零日漏洞鏈,進一步鞏固其領先地位。

Synacktiv的代碼破解者Thomas Imbert和Thomas Bouzerar還展示一個在Oracle VirtualBox上升級權限的三個漏洞鏈,價值80000美元。Tanguy Dubroca在Ubuntu桌面上成功地進行權限升級演示,獲得30000美元。在第三天的比賽結束時,Thomas Imbert又獲得30000美元的獎金,因為他成功地利用Use-After-Free零日漏洞入侵一個完全打過補丁的Windows 11系統。

Star Labs在利用微軟SharePoint和VMWare Workstation的零日漏洞以及Ubuntu Desktop上的一個先前已知的碰撞後,獲得19.5萬美元和19.5 MoP積分,位居第二。Viettel團隊獲得第三名,通過入侵微軟團隊和甲骨文VirtualBox,獲得115000美元和12個MoP積分。Qrious Security和獨立安全研究人員AbdulAziz Hariri分別以55000美元(5.5分)和50000美元(5分)的獎金結束比賽,排名第四和第五。

零日計劃現在將向各自的軟件供應商提供Pwn2Own 2023期間演示的所有27個零日漏洞的詳細信息。在ZDI公開披露這些漏洞之前,各公司將有90天的時間來修復這些漏洞並發佈其安全補丁,無論補丁是否可用。


相關推薦

2024-03-22

今天是Pwn2OwnVancouver2024開賽第一天,參賽者演示Windows11、特斯拉、UbuntuLinux及其他設備和軟件中的19個零日漏洞,以贏得73.25萬美元和一輛特斯拉Model3汽車。比賽一開始,Haboob SA 的阿卜杜勒-阿齊茲-哈裡裡(Abdul Aziz Hariri)利用一

2023-10-28

Pwn2Own多倫多2023黑客大賽已落下帷幕,安全研究人員在10月24日至10月27日期間針對消費類產品進行58次零日漏洞利用(以及多次漏洞碰撞),共獲得103.85萬美元的收入。在趨勢科技零日計劃(ZDI)組織的 Pwn2Own 多倫多 2023 黑客大賽

2023-11-29

更新中修復今年第六個Chrome零日漏洞,以應對持續的攻擊利用。該公司在今天發佈的新安全公告中承認存在安全缺陷漏洞(編號為CVE-2023-6345)。該公司表示:“Google意識到 CVE-2023-6345 的漏洞存在。”該漏洞已在穩定桌面頻道中

2022-08-16

軟正式公佈具體的獲勝團隊與項目:第一名: MasterPlan XR參賽者:佈雷特·傑克森( Brett Jackson)獎金:1萬美元在協作項目MasterPlanXR中,傑克森利用MR將二維甘特圖帶到三維世界,從而有效利用空間感並重新塑造項目規劃體驗。團

2022-07-05

的馬斯克,在推文中呼籲大傢‘不惜一切代價’,希望‘參賽團隊能夠構建可實施的十億噸級碳去除方案。’馬斯克呼籲|圖片來源: XPRIZE 官網截圖競賽的規則簡單,需要參賽團隊展示現有的每年去除 1000 噸二氧化碳的技術方案

2022-07-05

s用戶發佈Chrome103.0.5060.114緊急更新,以修復已證明被黑客利用的高危零日漏洞。這也是2022年Google修復的第4個零日漏洞。在本周一發佈的安全公告中,Google寫道:“編號為CVE-2022-2294的漏洞已證明被黑客利用”。目前,Google 正向

2022-08-06

Twitter承認近期曝光的用戶數據泄露事件,是黑客利用一個零日漏洞來實現的,目前該漏洞已經修復。該漏洞存在於將電子郵件地址和電話號碼綁定用戶帳戶的這項功能中,導致黑客獲取一份包含540萬用戶賬戶的列表文件。上個

2023-02-15

是AI並退還獎金。·以後的攝影大賽是不是坐在傢裡就能參賽還能拿獎?沒錯,這正成為現實,這讓那些天天端著昂貴相機捕捉地球最魅力、神奇瞬間的攝影師們情何以堪。·在二月初由digiDirect舉辦的攝影大賽上,一位化名Jane Eyk

2022-09-06

CVE-2022-3075的高危零日漏洞,目前已經有證據表明有黑客利用該漏洞執行攻擊。在部分匿名用戶於 8 月 30 日報告該問題之後,Google 立即著手修復該問題。安裝本次更新之後,Chrome 版本號升至為 105.0.5195.102,這也是 2022 年 Google 修

2022-09-30

change服務器零日漏洞正被網絡犯罪分子在現實世界攻擊中利用。越南網絡安全公司GTSC在2022年8月首次發現這些缺陷,是其對客戶網絡安全事件的部分回應,該公司表示,這兩個零日漏洞已被用於對其客戶環境的攻擊,時間可追溯

2023-04-13

軟發現Windows系統中的一個零日漏洞,該漏洞已經被黑客利用,被用於發起勒索軟件攻擊。該漏洞編號為CVE-2023-28252,被微軟定位重大漏洞。據悉,該漏洞存在於Windows通用日志文件系統(CLFS)中,攻擊者能夠利用該漏洞獲取設備

2024-03-13

一個報告可能涉及完整的攻擊鏈、裡面可能包含多個漏洞利用)在 2023 年占比最高的依然是 Android 系統,谷歌為 Android 方面的漏洞支付 340 萬美元,為吸引更多研究人員幫助谷歌排查 Android 的漏洞,谷歌還將 Android 平臺的單一漏洞

2022-07-13

Galaxy S22和Pixel 6手機中發現一個新漏洞。這是內核中的一個零日漏洞,它也可以破解Google Pixel 6和Galaxy S22。然而,這也可能發生在Pixel 6 Pro,以及任何基於內核v5.10的設備上。通過最新的漏洞,攻擊者可以獲得讀寫權限實現有能力

2022-06-26

設專項激勵獎金,總獎金池合計21萬美元。為進一步激勵參賽者,本屆大賽額外設置校園招聘綠色通道,優秀校園人才有機會進入華為。