Pwn2Own взломал Windows 11, взломали Tesla Model 3

логотип pwn2own
На прошлой неделе Ванкувер стал местом проведения конкурса Pwn2Own 2022 года, временного теста навыков для хакеров и экспертов по кибербезопасности . В этом году исполняется 15 лет конкурсу, и сбор 2022 года не разочаровал. 17 участников атаковали 21 цель, включая браузер Apple Safari, Windows 11 и даже электронику Tesla Model 3.

В этом году в конкурсе было присуждено в общей сложности 1 155 000 долларов, и самые большие выплаты были получены за серьезные подвиги против Microsoft Teams . утилита. Хотя технически Teams не является частью Windows, он поставляется в комплекте со всеми новыми установками Windows 11, а это означает, что эти эксплойты практически являются эксплойтами Windows. Гектор «p3rr0» Перальта, Масато Кинугава и STAR Labs заработали по 150 000 долларов каждый за крупные эксплойты утилиты.

Однако сама Windows 11 не пощадила. Марцин Визовски и STAR Labs заработали по 40 000 долларов за эксплойты для повышения привилегий в операционной системе Microsoft в первый день, а во второй день TO обнаружил аналогичную ошибку, заработав 40 000 долларов. На третий день было обнаружено не менее трех новых эксплойтов против Windows 11, все из категории серьезного повышения привилегий; все трое победителей получили еще 40 000 долларов.
Таблица лидеров pwn2own 2022 в Ванкувере

Что касается Tesla Model 3, Synacktiv смогла продемонстрировать эксплойт побега из песочницы в информационно-развлекательной системе автомобиля. Это может позволить злоумышленнику получить контроль над встроенным компьютером автомобиля и, учитывая еще пару хитрых эксплойтов, вполне может стать первым шагом к тому, чтобы удаленный злоумышленник получил контроль над системой автопилота автомобиля. Группа заработала 75 000 долларов за ошибку.

Другие цели, атакованные на Pwn2Own 2022, включали Mozilla Firefox (взломанный), Apple Safari (взломанный) и Ubuntu Desktop (взломанный). Было несколько сбоев, хотя Инициатива нулевого дня, которая спонсирует конкурс, отметила, что большинство неудачных взломов были действительными, и что специалисты по безопасности просто не смогли заставить их работать в течение ограниченного времени, отведенного для этого. .

Конечно, подробности взломов не предаются гласности, потому что они, в конце концов, нулевого дня. Это означает, что они еще не были исправлены, поэтому обнародование сведений об эксплойтах может позволить злоумышленникам использовать ошибки. Подробности будут раскрыты через 3 месяца, в течение которых Microsoft, Tesla, Apple и другие должны полностью настроить свое программное обеспечение.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал