Apple macOS, Microsoft Windows 11, робочий стіл Ubuntu зламали під час хакерської акції на 1 мільйон доларів
Що могло б статися, якби деякі з найдосвідченіших хакерів світу одночасно націлилися на деякі з найбільших технологічних імен? Це те, що ми з’ясовуємо, коли вчора розпочався хакерський конкурс Pwn2Own у Ванкувері 2023, і деякі технічні титани потрапили під серйозні експлойти безпеки нульового дня. Лише за один день, 22 березня, Apple macOS, Microsoft Windows 11, Microsoft SharePoint, Ubuntu Desktop, Tesla Gateway, Adobe Reader і Oracle VirtualBox впали в руки цих елітних хакерів.
І це лише для початку, оскільки Pwn2Own Vancouver 2023 завершиться лише 24 березня. З понад 1 мільйона доларів США, які можна було розіграти, у перший день було розіграно 375 000 доларів США; Ви можете бути впевнені, що інші цілі, включаючи Microsoft Teams і VMWare Workstation, будуть ретельно перевірені.
Все це насправді дуже добре.
Що таке хакерська подія Pwn2Own?
Pwn2Own — це глобальна хакерська подія, організована Trend Micro Zero-Day Initiative (ZDI), яка проводиться з 2005 року. На ній одні з найкращих хакерських команд змагаються проти заздалегідь визначених технологічних цілей та між собою, використовуючи раніше невідомі ' подвиги нульового дня. Ці елітні хакери-полювачі за головами та дослідники безпеки мають суворий ліміт часу, протягом якого успішно «підривають» відповідні цілі. Успіх винагороджується як очками, які додаються до таблиці лідерів Masters of Pwn, так і вдячністю Pwn2Own не слід недооцінювати, оскільки тут сильний змагальний характер, а також вражаючими виплатами. Загалом призовий фонд Pwn2Own Vancouver 2023 перевищує 1 мільйон доларів.
БІЛЬШЕ ВІД FORBE Перевірте свій смартфон Samsung зараз, щоб дізнатися, чи захищені ви від цієї нової атаки 0 кліків Автор Дейві Віндер
Злом не є злочином
Як я чую, ви запитуєте, як це може бути добре? Відповідь проста: кожна вразливість, яку використовують ці хакери нульового дня, негайно передається відповідному постачальнику, щоб він вирішив проблему. Потім виправлення випускаються до того, як будь-яка важлива технічна інформація буде розкрита громадськості, щоб переконатися, що менш етичні учасники не можуть зловмисно використовувати вразливості. ZDI не продає і не розповсюджує жоден із нульових днів.
Хто що зламав у перший день Pwn2Own Vancouver 2023?
Команда Synacktiv змогла зламати як ядро Apple macOS, під час атаки на підвищення привілеїв, так і Tesla Gateway. Обидва використовують атаку від часу перевірки до часу використання (TOCTOU) під час експлойтів.
Виграш: $140 000 і Tesla Model 3
Очки Master of Pwn: 14
Команда STAR Labs виконала успішний ланцюжковий експлойт проти Microsoft SharePoint, а також інший, хоча цього разу з використанням раніше відомої вразливості, проти Ubuntu Desktop.
Виграш: $115 000
Очки Master of Pwn: 11,5
АбдулАзіз Харірі з Haboob SA зламав Adobe Reader, використовуючи вражаючий експлойт із шести вразливостей, щоб уникнути пісочниці Adobe.
Виграш: $50 000
Очки Master of Pwn: 5
Bien Pham з Qrious Security успішно запустив експлойт проти Oracle VirtualBox.
Виграш: 40 000 доларів
Очки Master of Pwn: 4
Марчіну Вязовському вдалося успішно здійснити атаку на підвищення привілеїв проти Windows 11.
Виграш: 30 000 доларів
Очки Master of Pwn: 3
