2023年3月22日至24日,趋势科技ZDI在温哥华举办了新一届Pwn2Own大赛,这次大赛共分7个类别,包括虚拟机、web浏览器、企业应用、服务器、本地提权、企业通信以及汽车,赛事奖池超过百万美元。
据悉,本次比赛仍然是混合参赛模式,参赛选手可自由选择远程或现场参赛。知名车企特斯拉成为了本次大赛的合作伙伴,并为大赛提供特斯拉Model 3和Model S作为参赛选手们的攻击目标,最高奖励是60万美元外加汽车本身。
Pwn2Own 温哥华 2023大赛第一天的结果已经出炉。当天参赛选手们共进行了8次攻击尝试。其中成功的有:Haboob SA的AbdulAziz Hariri对Adobe Reader的攻击;STAR Labs对Microsoft SharePoint的攻击;来自Qrious Security的Bien Pham使用OOB Read和基于堆栈的缓冲区溢出来利用Oracle VirtualBox;以及Synacktiv使用TOCTOU漏洞攻击特斯拉网关等。其中选手赢取的单项最高奖金为10万美元和10个Pwn大师积分,另外还有一辆特斯拉Model 3。这一天大赛总共为选手们颁发了375000美元的奖金。
Pwn2Own大赛第二天的比赛结果也已经公布。Synacktiv、Team Viettel等团队分别成功攻击了Oracle VirtualBox、Microsoft Teams等目标,该比赛日共为10个零日漏洞颁发了475000美元奖金。
在比赛的第三天也是最后一天,这些安全研究员们将尝试利用Ubuntu Desktop、Microsoft Teams、Windows 11以及VMware Workstation中的零日漏洞。
按照惯例,对于在Pwn2Own大赛期间演示和披露的零日漏洞,供应商有 90 天的时间为其创建及发布安全修复程序,在这之后趋势科技ZDI将公开披露这些漏洞。
在去年那一届温哥华Pwn2Own大赛中,安全研究员们共六次入侵Windows 11、四次攻击Ubuntu桌面,成功演示了3次Microsoft Teams零日漏洞利用,此外他们还报告了Apple Safari,Oracle Virtualbox和Mozilla Firefox中的几个零日漏洞,并成功入侵了特斯拉Model 3信息娱乐系统。这些成果共为他们赢得了1155000美元奖金。