Apple macOS, Microsoft Windows 11, Ubuntu Desktop взломаны во время хакерской атаки на 1 миллион долларов

Что может случиться, если некоторые из самых опытных хакеров мира одновременно нацелятся на несколько крупнейших технологических компаний? Это то, что мы выяснили, когда вчера стартовал хакерский конкурс Pwn2Own Vancouver 2023, и некоторые технические титаны попали в серьезную уязвимость нулевого дня. Всего за один день, 22 марта, Apple macOS, Microsoft Windows 11, Microsoft SharePoint, Ubuntu Desktop, Tesla Gateway, Adobe Reader и Oracle VirtualBox попали в руки этих элитных хакеров.

И это только для начала, поскольку Pwn2Own Vancouver 2023 не завершится до 24 марта. При розыгрыше более 1 миллиона долларов в первый день было присуждено 375 000 долларов; вы можете быть уверены, что оставшиеся цели, включая Microsoft Teams и VMWare Workstation, будут тщательно протестированы.

Все это, на самом деле, очень хорошо.

Что такое хакерское событие Pwn2Own?

Pwn2Own — это глобальное хакерское мероприятие, организованное Trend Micro Zero-Day Initiative (ZDI), которое проводится с 2005 года. В нем лучшие хакерские команды соревнуются с заранее определенными техническими целями и друг с другом, используя ранее неизвестные технологии. эксплойты нулевого дня. У этих элитных хакеров-охотников за головами и исследователей в области безопасности есть строгий лимит времени, в течение которого они могут успешно «разоблачить» рассматриваемые цели. Успех вознаграждается как очками, которые добавляются в таблицу лидеров Masters of Pwn, так и славой Pwn2Own, которую нельзя недооценивать, поскольку здесь сильна конкуренция, а также впечатляющими выплатами. В целом призовой фонд Pwn2Own Vancouver 2023 превышает 1 миллион долларов.

БОЛЬШЕ ОТ FORBESПроверьте свой смартфон Samsung сейчас, чтобы узнать, защищены ли вы от этой новой атаки 0-ClickДэйви Уиндер

Взлом не является преступлением

Как это может быть хорошо, я слышу, вы спрашиваете? Ответ прост: каждая уязвимость, которую используют эти хакеры нулевого дня, немедленно передается соответствующему поставщику, чтобы они исправили проблему. Затем исправления выпускаются до того, как какая-либо важная техническая информация будет раскрыта общественности, чтобы гарантировать, что менее этичные субъекты не смогут злонамеренно использовать уязвимости. Ни один из нулевых дней не продается и не перераспределяется ZDI.

Кто что взломал в первый день Pwn2Own Vancouver 2023?

Команда Synacktiv смогла взломать как ядро Apple macOS с целью повышения привилегий, так и шлюз Tesla. Оба используют атаку времени проверки на время использования (TOCTOU) во время эксплойтов.

Выигрыш: 140 000 долларов и Tesla Model 3.

Очки Master of Pwn: 14

Команда STAR Labs выполнила успешный цепной эксплойт против Microsoft SharePoint, а также еще один, хотя на этот раз с использованием ранее известной уязвимости, против Ubuntu Desktop.

Выигрыш: $115 000

Очки Master of Pwn: 11,5

АбдулАзиз Харири из Haboob SA взломал Adobe Reader, используя впечатляющий эксплойт из шести цепочек уязвимостей, чтобы выйти из песочницы Adobe.

Выигрыш: 50 000 долларов

Очки Мастера Pwn: 5

Бьен Фам из Qrious Security успешно запустил эксплойт против Oracle VirtualBox.

Выигрыш: 40 000 долларов

Очки Master of Pwn: 4

Марчину Вязовски удалось успешно провести атаку с повышением привилегий на Windows 11.

Выигрыш: $30 000

Очки Мастера Pwn: 3