行业资讯｜PWN2OWN 温哥华 2023 – 第一日战果

资讯 2年前 (2023) admin

305 0 0

点击上方蓝字关注我们

Pwn2Own 2023温哥华大赛的第一天已经圆满结束。大赛一共为12个0day漏洞颁发了37.5万美元的奖励（以及一辆特斯拉Model 3）。

比赛的第一天共有八项尝试，包括SharePoint RCE和特斯拉漏洞。在今年的比赛中，Zero Day Initiative（ZDI) 表示所有独立破解项目都将获得全额奖金。

目前为止，战队积分排名如下：

第一日赛况

成功

来自Haboob SA (@HaboobSa)的AbdulAziz Hariri (@abdhariri)完成了对Adobe Reader的攻击，他使用了一个6个漏洞的逻辑链绕过了多个补丁，最终逃脱了沙盒并绕过了被禁用的API清单。他获得了50,000美元奖金和5个Master of Pwn的积分。

失败

last_minute_pwnie未能在规定的时间内完成他们的Ubuntu漏洞利用。

成功

对于微软的SharePoint这一目标，STARLabs（@starlabs_sg）成功执行了他们由两个漏洞组成的利用链。他们获得了100,000美元奖金和10个Master of Pwn的积分。

成功

来自Qrious Security（@qriousec）的Bien Pham（@bienpnn）使用了一个越界读和一个栈溢出的漏洞成功攻破了Oracle VirtualBox。他获得了40,000美元奖金和4个Master of Pwn的积分。

成功

Synacktiv（@Synacktiv）针对特斯拉的Gateway执行了TOCTOU攻击。他们获得了100,000美元奖金以及10个Master of Pwn的积分，和一辆特斯拉Model 3。

撞洞

STAR Labs（@starlabs_sg）成功完成了他们对Ubuntu Desktop的攻击，但所使用的利用是已知利用。不过他们仍然获得了15,000美元奖金和1.5个Master of Pwn的积分。

成功

Marcin Wiązowski使用了一个输入验证不当的漏洞完成了在Windows 11上的提权。他获得了30,000美元奖金，和3个Master of Pwn的积分。