Την πρώτη ημέρα του PWN2OWN BERLIN 2025, οι ερευνητές ασφαλείας έλαβαν 260.000 δολάρια μετά από επιτυχώς επίδειξη εκμεταλλεύσεων μηδενικής ημέρας για τα Windows 11, το Red Hat Linux και το Oracle VirtualBox.
Το Red Hat Enterprise Linux για σταθμούς εργασίας ήταν ο πρώτος που πέφτει στην κατηγορία κλιμάκωσης τοπικής κλιμάκωσης μετά από την κολοκύθα της Devcore Research Team εκμεταλλεύτηκε μια ευπάθεια υπερχείλισης ακέραιου αριθμού για να κερδίσει 20.000 δολάρια. Ο Hyunwoo Kim και ο Wongi Lee έλαβαν επίσης ρίζες σε μια συσκευή Red Hat Linux με την αλυσίδα μιας διαρροής χωρίς χρήση και μιας διαρροής πληροφοριών, αλλά ένα από τα σφάλματα ήταν μια μέρα.
Στη συνέχεια, ο Chen Le Qi του Starlabs SG απονεμήθηκε 30.000 δολάρια για μια αλυσίδα εκμετάλλευσης που συνδυάζει μια χρήση χωρίς χρήση και μια υπερχείλιση ακέραιων ακέραιων για να κλιμακώσει τα προνόμια στο σύστημα σε ένα σύστημα Windows 11.
Τα Windows 11 έχουν πειραχτεί δύο φορές περισσότερο για να κερδίσουν προνόμια του συστήματος από τον Marcin Wiązowski, ο οποίος εκμεταλλεύτηκε ένα out-of-bounds γράφει ευπάθεια και ο Hyeonjin Choi, ο οποίος απέκλεισε μια μηδενική ημέρα σύγχυσης.
Το Team Prison Break κέρδισε 40.000 δολάρια μετά την επίδειξη μιας αλυσίδας εκμετάλλευσης που χρησιμοποίησε μια υπερχείλιση ακέραιων ακέραιων για να ξεφύγει από το Oracle Virtualbox και να εκτελέσει κώδικα στο υποκείμενο λειτουργικό σύστημα.
Η Sina Kheirkhah της ομάδας του κλήτευσης απονεμήθηκε άλλα 35.000 δολάρια για μια μηδενική ημέρα Chroma και μια ήδη γνωστή ευπάθεια στο Nvidia’s Triton Enference Server, ενώ ο Billy της Starlabs SG και ο Ramdhan κέρδισαν 60.000 δολάρια για το Docker Docker Desktop και τον κώδικα εκτέλεσης στο υποκείμενο OS χρησιμοποιώντας ένα μηδενικό από το AFFET-Free Day.
Ο PWN2OWN BERLIN 2025 Ο ανταγωνισμός hacking, ο οποίος επικεντρώνεται στις τεχνολογίες των επιχειρήσεων και εισάγει μια κατηγορία AI, πραγματοποιείται στο Βερολίνο μεταξύ 15 Μαΐου και 17 Μαΐου, κατά τη διάρκεια του Παράθετος διάσκεψη.
Τη δεύτερη μέραοι ερευνητές ασφαλείας θα προσπαθήσουν να εκμεταλλευτούν μηδενικές ημέρες στο Microsoft SharePoint, στο VMware ESXI, στο Mozilla Firefox, στο Red Hat Enterprise Linux για τους σταθμούς εργασίας και στο Oracle VirtualBox.
Αφού οι ευπάθειες μηδενικής ημέρας υποβιβάζονται και αποκαλύπτονται κατά τη διάρκεια του PWN2OWN, οι πωλητές έχουν 90 ημέρες για να απελευθερώσουν διορθώσεις ασφαλείας για τα προϊόντα λογισμικού και υλικού τους.
Οι διαγωνιζόμενοι PWN2OWN θα στοχεύουν προϊόντα στο AI, στο πρόγραμμα περιήγησης στο Web, στην εικονικοποίηση, στην κλιμάκωση τοπικών προνομίων, στους διακομιστές, στις εφαρμογές των επιχειρήσεων, στις κατηγορίες cloud-native/container και στις κατηγορίες αυτοκινήτων και θα μπορούν να κερδίζουν πάνω από 1.000.000 δολάρια σε μετρητά και βραβεία.
Ωστόσο, ενώ το 2024 Tesla Model 3 και οι μονάδες του 2025 Tesla Model Y Bench-Top ήταν επίσης διαθέσιμες ως στόχοι, δεν έχουν καταχωρηθεί προσπάθειες πριν ξεκινήσει ο διαγωνισμός.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
