今年在溫哥華舉行的Pwn2Own黑客大賽向發現和利用許多以前未知的零日安全漏洞的研究人員頒發超過100萬美元的獎金。這筆錢的一半以上給一個團隊。Pwn2Own是由趨勢科技的零日計劃(ZDI)在溫哥華CanSecWest安全會議期間舉辦的年度黑客大賽。
每年,安全研究人員和代碼專傢都會加入數字戰場,希望能大獲全勝,贏得ZDI提供的豐厚的現金獎勵。今年,五支安全專傢團隊揭露流行軟件和技術產品中的一些黑客行為。
在為期三天的活動結束時,參賽者披露27個獨特的零日漏洞,共分得103.5萬美元(和被黑的汽車)。滲透測試公司Synacktiv團隊獲得"Pwn大師"稱號,他們獲得53個Pwn大師積分、53萬美元和特斯拉Model 3汽車。
Synacktiv在第一天取得絕對的領先優勢,其團隊攻陷一輛特斯拉Model 3,並破解macOS的訪問權限。第二天,Synacktiv通過展示針對特斯拉信息娛樂系統的堆溢出和OOB寫零日漏洞鏈,進一步鞏固其領先地位。
Synacktiv的代碼破解者Thomas Imbert和Thomas Bouzerar還展示一個在Oracle VirtualBox上升級權限的三個漏洞鏈,價值80000美元。Tanguy Dubroca在Ubuntu桌面上成功地進行權限升級演示,獲得30000美元。在第三天的比賽結束時,Thomas Imbert又獲得30000美元的獎金,因為他成功地利用Use-After-Free零日漏洞入侵一個完全打過補丁的Windows 11系統。
Star Labs在利用微軟SharePoint和VMWare Workstation的零日漏洞以及Ubuntu Desktop上的一個先前已知的碰撞後,獲得19.5萬美元和19.5 MoP積分,位居第二。Viettel團隊獲得第三名,通過入侵微軟團隊和甲骨文VirtualBox,獲得115000美元和12個MoP積分。Qrious Security和獨立安全研究人員AbdulAziz Hariri分別以55000美元(5.5分)和50000美元(5分)的獎金結束比賽,排名第四和第五。
零日計劃現在將向各自的軟件供應商提供Pwn2Own 2023期間演示的所有27個零日漏洞的詳細信息。在ZDI公開披露這些漏洞之前,各公司將有90天的時間來修復這些漏洞並發佈其安全補丁,無論補丁是否可用。