Pwn2Own Vancouver 2022’nin ilk gününde yarışmacılar , Microsoft’un Windows 11 işletim sistemi ve Teams iletişim platformu da dahil olmak üzere birden fazla ürünü hacklemek için 16 sıfır gün hatasını başarıyla kullanarak 800.000 $ kazandı.
İlk olarak, Hector Peralta yanlış yapılandırma kusurundan yararlanmasından sonra kurumsal iletişim kategorisinde hacklenen ilk ürün Microsoft Teams oldu. STAR Labs ekibi ( Billy Jheng Bing- Jhong , Muhammad Alifa Ramdhan ve Nguyễn Hoàng Thạch ) 2 hatadan (enjeksiyon ve rastgele dosya yazma) oluşan istismarından başarı ile yararlandı. Teams ayrıca Masato Kinugawa tarafından üçüncü kez saldırıya uğradı. Her biri Microsoft Teams zero-day’leri başarıyla uyguladıkları için 150.000 dolar kazandı.
STAR Labs, Windows 11 çalıştıran bir sistemde ayrıcalıkları yükseltme zafiyetinden başarı ile yararlandıkları için ekstradan 40.000 $ ve Oracle Virtualbox’ta ayrıcalık yükseltme zafiyetini istismar ederek ek 40.000 $ kazandı. Manfred Paul ( @_manfp ), Mozilla Firefox ve Apple Safari’deki zafiyetlerden başarı ile yararlandığından 150.000 $ kazandı.
İlk günde bunlar yaşanırken, İkinci gün Pwn2Own rakipleri, Tesla Model 3 Infotainment System (with Sandbox Escape) ve Diagnostic Ethernet (root ile), Windows 11’de ve Ubuntu masaüstünde zero-day zafiyetlerinden yararlanmaya çalışacak. Güvenlik açıkları Pwn2Own’da gösterildikten ve açıklandıktan sonra yazılım ve donanım satıcılarının zafiyetleri kapatmak için 90 günleri olacak.
Pwn2Own Vancouver 2022 yarışması sırasında güvenlik araştırmacıları web tarayıcısı, sanallaştırma, yerel ayrıcalığın yükseltilmesi, sunucular, kurumsal iletişim ve otomotiv kategorilerindeki ürünleri hedef alacak.
Kaynak: bleepingcomputer.com