Κατά τη διάρκεια της δεύτερης ημέρας του PWN2OWN Berlin 2025, οι ανταγωνιστές κέρδισαν 435.000 δολάρια μετά την εκμετάλλευση των σφαλμάτων μηδενικής ημέρας σε πολλά προϊόντα, συμπεριλαμβανομένων των Microsoft SharePoint, VMware ESXI, Oracle Virtualbox, Red Hat Enterprise Linux και Mozilla Firefox.
Το επίκεντρο ήταν μια επιτυχημένη προσπάθεια από τον Nguyen Hoang Thach του Starlabs SG εναντίον του VMware Esxi, το οποίο του κέρδισε $ 150.000 για εκμετάλλευση υπερχείλισης ακέραιων ακέραιων.
Το Dinh Ho anh Khoa της Viettel Cyber Security απονεμήθηκε 100.000 δολάρια για την πειρατεία της Microsoft SharePoint, αξιοποιώντας μια αλυσίδα εκμετάλλευσης που συνδυάζει μια παράκαμψη Auth και ένα ανασφαλές ελάττωμα αποταμιευτικής.
Ο Edouard Bochin και ο Tao Yan του Palo Alto Networks δημιούργησαν επίσης ένα out-of-bounds να γράφουν μηδενική ημέρα στο Mozilla Firefox, ενώ ο Gerrard Tai του Star Labs Sg Elecalated Privileges για να ριζώσει το Red Hat Enterprise Linux χρησιμοποιώντας ένα σφάλμα χωρίς χρήση, και το Viettel Cyber Security χρησιμοποίησε μια άλλη out-of-bound για να γράψει ένα Orace-Toxtox-to-oss-sost.
Στην κατηγορία AI, οι ερευνητές της Wiz Research Security χρησιμοποίησαν μια μηδενική ημέρα χωρίς χρήση για να εκμεταλλευτούν το Redis και το Qriout Secure Secure-Chained Four Four Security για να χάσουν τον διακομιστή συμπερασμάτων Triton της Nvidia.
Την πρώτη ημέρα, οι ανταγωνιστές απονεμήθηκαν 260.000 δολάρια μετά την επιτυχή εκμετάλλευση των τρωτών σημείων μηδενικής ημέρας στα Windows 11, το Red Hat Linux και το Oracle Virtualbox, φθάνοντας συνολικά 695.000 δολάρια που κέρδισαν τις πρώτες δύο ημέρες του διαγωνισμού μετά από 20 μοναδικές 0 ημέρες.
Ο PWN2OWN BERLIN 2025 Ο ανταγωνισμός hacking επικεντρώνεται στις επιχειρήσεις τεχνολογίες, εισάγει μια κατηγορία AI για πρώτη φορά και λαμβάνει χώρα κατά τη διάρκεια του Παράθετος διάσκεψη μεταξύ 15 Μαΐου και 17 Μαΐου.
Οι ερευνητές ασφαλείας θα μπορούν να κερδίζουν πάνω από 1.000.000 δολάρια σε ανταμοιβές για την επίδειξη σφαλμάτων μηδενικής ημέρας σε πλήρως επιδιορθωμένα προϊόντα στο πρόγραμμα περιήγησης AI, στο πρόγραμμα περιήγησης στο Web, στην εικονικοποίηση, στην κλιμάκωση τοπικών προνομίων, στους διακομιστές, στις εφαρμογές επιχειρήσεων, στο cloud-native/container και στις κατηγορίες αυτοκινήτων.
Ωστόσο, δεν καταχωρήθηκαν προσπάθειες Tesla πριν ξεκινήσει το PWN2OWN, παρόλο που δύο μονάδες Tesla Model Y και 2024 Tesla Model 3 ήταν επίσης διαθέσιμες ως στόχοι.
Στο Τελευταία ημέρα του διαγωνισμούΟι χάκερ θα προσπαθήσουν να εκμεταλλευτούν σφάλματα μηδενικής ημέρας στα Windows 11, Oracle VirtualBox, VMware ESXI, VMware Work Station, Mozilla Firefox, καθώς και NVIDIA της Triton Enference Server και Toolkit Container.
Μετά την αποκάλυψη των μηδενικών ημερών κατά τη διάρκεια του διαγωνισμού PWN2OWN, οι πωλητές έχουν 90 ημέρες για να απελευθερώσουν διορθώσεις ασφαλείας για τα προϊόντα λογισμικού και υλικού πριν από την πρωτοβουλία της Nonaino Day της Trend Micro δημοσιεύει τεχνικές λεπτομέρειες.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
