Windows 11 diretas pada hari pertama Pwn2Own

Microsoft Teams, Windows 11 hacked on first day of Pwn2Own

Selama hari pertama Pwn2Own Vancouver 2022, kontestan memenangkan $800.000 setelah berhasil mengeksploitasi 16 bug zero-day untuk meretas beberapa produk, termasuk sistem operasi Microsoft Windows 11 dan platform komunikasi Teams.

Yang pertama jatuh adalah Microsoft Teams dalam kategori komunikasi perusahaan setelah Hector Peralta mengeksploitasi cacat konfigurasi yang tidak tepat.

Tim STAR Labs ( Billy Jheng Bing-Jhong , Muhammad Alifa Ramdhan , dan Nguyễn Hoàng Thạch ) juga mendemonstrasikan rantai eksploitasi tanpa klik dari 2 bug (injeksi dan penulisan file arbitrer). 

Microsoft Teams diretas untuk ketiga kalinya oleh Masato Kinugawa, yang mengeksploitasi rantai 3-bug dari injeksi, kesalahan konfigurasi, dan pelarian sandbox.

Masing-masing dari mereka memperoleh $150.000 karena berhasil mendemonstrasikan tim Microsoft mereka zero-days.

STAR Labs juga mendapatkan tambahan $40.000 setelah meningkatkan hak istimewa pada sistem yang menjalankan Windows 11 menggunakan kelemahan Use-After-Free dan tambahan $40.000 dengan mencapai eskalasi hak istimewa di Oracle Virtualbox.

Manfred Paul ( @_manfp ) juga berhasil mendemonstrasikan 2 bug (polusi prototipe dan validasi input yang tidak tepat) untuk meretas Mozilla Firefox dan penulisan out-of-band di Apple Safari untuk mendapatkan $150.000.

Sorotan lain dari hari pertama Pwn2Own termasuk Marcin Wiązowski, Team Orca of Sea Security, dan Keith Yeo yang mendemonstrasikan lebih banyak zero-days di Windows 11 dan Desktop Ubuntu,

Pada hari kedua , pesaing Pwn2Own akan mencoba memanfaatkan zero-days di Tesla Model 3 Infotainment System (dengan Sandbox Escape) dan Diagnostic Ethernet (dengan Root Persistence), Windows 11, dan Ubuntu Desktop.

Setelah kerentanan keamanan ditunjukkan dan diungkapkan selama Pwn2Own, vendor perangkat lunak dan perangkat keras memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan.

Selama  kontes Pwn2Own Vancouver 2022 , peneliti keamanan akan menargetkan produk di browser web, virtualisasi, Peningkatan Hak Istimewa Lokal, server, komunikasi perusahaan, dan kategori otomotif.

Antara 18 Mei dan 20 Mei, mereka akan dapat memperoleh lebih dari $1.000.000 uang tunai dan hadiah, termasuk Tesla Model 3 dan Tesla Model S. Penghargaan tertinggi untuk meretas Tesla sekarang adalah $600.000 (dan, mungkin, mobil itu sendiri). ).

Tim Fluoroacetate adalah yang pertama pulang dengan Tesla Model 3  di Pwn2Own Vancouver 2019 setelah meretas sistem infotainment berbasis Chromium mobil.

Artikel Terkait:

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

Windows 'RemotePotato0' zero-day mendapat tambalan tidak resmi

Peretas mendapatkan $400K untuk eksploitasi ICS zero-day yang didemonstrasikan di Pwn2Own

Microsoft merilis image ISO pertama untuk build Windows 11 Dev baru

Pembaruan darurat Apple memperbaiki zero-day yang digunakan untuk meretas Mac, Jam Tangan

Microsoft-teams-windows-11-hacked-on-first-day-of-pwn2own/