Ο διαγωνισμός Hacking του PWN2OWN Berlin 2025 κατέληξε, με τους ερευνητές ασφαλείας να κερδίζουν 1.078.750 δολάρια μετά την εκμετάλλευση 29 ευπάθειας μηδενικής ημέρας και συναντούν κάποιες συγκρούσεις σφάλματος.
Σε ολόκληρο τον διαγωνισμό, στοχεύουν τεχνολογίες επιχειρήσεων στο πρόγραμμα περιήγησης AI, στο πρόγραμμα περιήγησης ιστού, στην εικονικοποίηση, στην κλιμάκωση τοπικής προνομίων, στους διακομιστές, στις εφαρμογές των επιχειρήσεων, στις κατηγορίες cloud-native/container και στις κατηγορίες αυτοκινήτων.
Σύμφωνα με Κανόνες του PWN2OWNόλες οι στοχευμένες συσκευές είχαν όλες τις ενημερώσεις ασφαλείας εγκατεστημένες και έτρεξαν τις τελευταίες εκδόσεις του λειτουργικού συστήματος.
Ενώ ο Tesla παρείχε επίσης δύο μονάδες 2025 Tesla Model Y και 2024 Tesla Model 3 Bench-Top, οι ερευνητές ασφαλείας που εντάχθηκαν στον διαγωνισμό δεν έχουν καταγράψει καμία προσπάθεια αυτής της κατηγορίας πριν ξεκινήσει το PWN2OWN.
Οι ανταγωνιστές συγκέντρωσαν 260.000 δολάρια σε μετρητά βραβεία μετά την πρώτη ημέρα και άλλα 435.000 δολάρια τη δεύτερη ημέρα μετά την εκμετάλλευση 20 τρωτών σημείων μηδενικής ημέρας. Επί την τρίτη ημέρα του PWN2OWN, συγκέντρωσαν άλλα 383.750 δολάρια για οκτώ επιπλέον μηδενικές ημέρες.
Μετά την υποβολή αυτών των τρωτών σημείων κατά τη διάρκεια των εκδηλώσεων PWN2OWN, οι πωλητές έχουν 90 ημέρες για να απελευθερώσουν ενημερώσεις ασφαλείας πριν από την πρωτοβουλία μηδενικής ημέρας της Trendmicro τους αποκαλύψει δημόσια.
Η ομάδα Star Labs SG κέρδισε τη φετινή έκδοση του PWN2OWN Berlin με 35 Master of PWN Points και 320.000 δολάρια που κέρδισαν σε όλο το τριήμερο διαγωνισμό μετά από hacking Red Hat Enterprise Linux, Docker Desktop, Windows 11, VMware Esxi και Oracle VirtualBox.
Ο Nguyen Hoang Thach του Star Labs κέρδισε την υψηλότερη ανταμοιβή του διαγωνισμού ύψους 150.000 δολαρίων μετά τη χρήση ενός ακέραιου υπερχείλισης για να χαράξει το λογισμικό Hypervisor VMware ESXI.
Η ομάδα Cyber Security της ομάδας Viettel κατέκτησε τη δεύτερη θέση μετά την επίδειξη ατέλειων μηδενικής ημέρας που θα μπορούσαν να αφήσουν τους επιτιθέμενους να ξεφύγουν στο σύστημα υποδοχής από τους επισκέπτες της Oracle Virtualbox και να χτυπήσουν το Microsoft SharePoint χρησιμοποιώντας μια αλυσίδα εκμετάλλευσης που συνδυάζει μια παράκαμψη Auth και μια ανασφαλής αποταμιευτικοποίηση.
Την τρίτη ημέρα, η Team Reverse Tactics έβγαλε και πάλι το λογισμικό Hypervisor της VMware χρησιμοποιώντας μια αλυσίδα εκμετάλλευσης που κακοποιεί μια υπερχείλιση ακέραιων ακέραιων και ένα μη οινοποιημένο μεταβλητό σφάλμα για να κερδίσει 112.500 δολάρια και να πάρει την τρίτη θέση στην κατάταξη.
Μοίρα έχει ήδη επιδιορθωθεί τα δύο σφάλματα μηδενικής ημέρας Firefox (CVE-2025-4918 και CVE-2025-4919) που υποβλήθηκε κατά τη διάρκεια του διαγωνισμού μετά την απελευθέρωση του Firefox 138.0.4, ο Firefox ESR 128.10.1, ο Firefox ESR 115.23.1 και ένας νέος Firefox για την έκδοση Android κατά τη διάρκεια του Σαββατοκύριακου για να τους αντιμετωπίσουν.
Τον Μάρτιο του 2024, η Mozilla καθόρισε δύο άλλες ευπάθειες μηδενικής ημέρας στο πρόγραμμα περιήγησης στο Firefox Web (CVE-2024-29943 και CVE-2024-29944) Μετά την εκμετάλλευση του ερευνητή ασφαλείας, ο Paul εκμεταλλεύτηκε και τους ανέφερε στο PWN2OWN Vancouver 2024.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
