Nella competizione Pwn2Own di Vancouver 2023 i ricercatori di sicurezza hanno mostrato vulnerabilità zero-day in Windows 11, Tesla, macOS, Ubuntu e non solo.
Ogni anno hacker e ricercatori di sicurezza di tutto il mondo si sfidano a Pwn2Own. Si tratta di un evento molto importante, soprattutto per i produttori, perché consente loro di mettere alla prova i propri sistemi di sicurezza. Per chi non ne fosse a conoscenza, Pwn2Own è un evento globale organizzato dalla Trend Micro Zero-Day Initiative (ZDI), in corso dal 2005 e nell’evento di quest’anno il montepremi in palio è superiore a $ 1 milione e comprende un’auto elettrica Tesla.
Ogni nuova vulnerabilità scoperta e ogni intrusione riuscita viene infatti premiata. Dopo aver sfidato il Galaxy S22 durante il Pwn2Own 2022 di Toronto, quest’anno i partecipanti sono invitati a Vancouver per violare, fra le altre, le protezioni di Windows 11, macOS, Ubuntu e Tesla.
La competizione si è aperta il 22 marzo 2023 e durante il primo giorno i ricercatori “hacker” hanno moltiplicato i loro sforzi per cercare di aggiudicarsi parte dei 375.000 dollari in palio, oltre al primo premio, una Tesla Model 3.
Come si legge sul blog ufficiale della Zero Day Initiative, Adobe Reader è stato il primo a cadere nella categoria delle applicazioni aziendali. Abdul Aziz Hariri di Haboob SA ha conseguito un premio di 50.000 dollari grazie all’utilizzo di una serie di sei vulnerabilità che gli hanno permesso di bypassare le restrizioni imposte dalla sandbox e dalla lista di API non consentite su macOS, grazie anche all’abuso di diverse patch non riuscite.
Successivamente, il team di STAR Labs ha scoperto una falla zero-day nella piattaforma di collaborazione SharePoint di Microsoft. Grazie a questo exploit, il collettivo ha vinto 100.000 dollari. Ma non è tutto, perché sono riusciti anche a penetrare in Ubuntu Desktop attraverso una falla già nota, con altri 15.000 dollari aggiunti alla vincita.
Synacktiv ha vinto 100.000 dollari e una Tesla Model 3 dopo aver eseguito con successo un attacco TOCTOU (Time of check of Time to use) contro Tesla Gateway nella categoria Automotive. L’hacker ha utilizzato lo stesso metodo per elevare i propri privilegi su macOS. In totale, Synactiv si è aggiudicato 140.000 dollari e la berlina elettrica.
Anche Windows 11 è stato violato da Marcin Wiazowski, che ha sfruttato una falla zero-day di convalida impropria dell’input. Gli sono stati assegnati 30.000 dollari per la sua scoperta e Bien Pham di Qriois Security ha ottenuto 40 mila dollari per avere compromesso Oracle VirtualBox.
Una volta dimostrati gli exploit durante il torneo, gli interessati hanno 90 giorni per indagare sulle vulnerabilità e rilasciare eventuali patch di sicurezza. Trascorsi i 90 giorni, la Zero Day Initiative di Trend Micro renderà pubbliche le vulnerabilità, indipendentemente dal fatto che siano state correte o meno.
