На прошлой неделе участники Pwn2Own Vancouver 2022 заработали в общей сложности более 1,15 миллиона долларов. По данным Zero Day Initiative (ZDI), которая организует мероприятие, награды были выплачены за 25 уникальных уязвимостей нулевого дня, которые использовались для атак на Tesla Model 3, Windows 11, Ubuntu, Microsoft Teams, Safari, Firefox и Oracle VirtualBox.
Большую часть денег участники заработали в первый же день мероприятия, продемонстрировав эксплоиты на общую сумму 800 000 долларов, включая три цепочки эксплоитов для Microsoft Teams, за каждую.из которых полагалось по 150 000 долларов. Команда Synacktiv получила 75 000 долларов за взлом информационно-развлекательной системы Tesla Model 3, однако эксплоит использовал уже известную уязвимость побега из песочницы. Вторая попытка взлома оказалась неудачной – исследователям не удалось продемонстрировать свой эксплоит для Tesla, но ZDI все равно решила сообщить о возможном эксплоите автопроизводителю.
С защитой браузера Firefox справился только один специалист – Манфред Пол, эксплоит принес ему 100 000 долларов. Пол продемонстрировал эксплоит 18 мая, а 20 мая Mozilla объявила об обновлении Firefox, которое должно устранить уязвимости, раскрытые на Pwn2Own. Специалист также заработал 50 000 долларов за взлом Safari.
Участники Pwn2Own продемонстрировали шесть эксплоитов для повышения привилегий Windows 11, каждый из которых стоил 40 000 долларов. Четыре эксплоита для Ubuntu и один для VirtualBox принесли хакерам столько же денег.
Это уже второй Pwn2Own в 2022 году. В апрельском Pwn2Own Miami 2022, посвященном промышленным системам управления, участники заработали около 400 000 долларов за свои эксплоиты.
Источник: SecurityLab