I partecipanti hanno guadagnato un totale di oltre 1,15 milioni di dollari al concorso di hacking Pwn2Own Vancouver 2022 la scorsa settimana.
Secondo la Zero Day Initiative (ZDI) di Trend Micro, che organizza l’evento, sono state pagate ricompense per 25 vulnerabilità zero-day uniche, utilizzate per colpire Tesla Model 3, Windows 11, Ubuntu, Microsoft Teams, Safari, Firefox e Oracle VirtualBox.
La maggior parte del denaro è stata guadagnata il primo giorno, quando i ricercatori hanno dimostrato exploit per un totale di 800.000 dollari, tra cui tre catene di exploit di Microsoft Teams che hanno ricevuto 150.000 dollari ciascuna.
Due team hanno preso di mira la Tesla Model 3, ma solo uno di loro, che rappresenta Synacktiv, ha avuto un successo parziale. Il team Synacktiv ha guadagnato 75.000 dollari per un hack del sistema di infotainment, ma il loro exploit ha sfruttato una vulnerabilità di sandbox escape già nota.
Nel secondo tentativo, un ricercatore non è riuscito a dimostrare l’exploit di Tesla, ma ZDI ha comunque deciso di acquisire i dettagli dell’exploit e di segnalarli alla casa automobilistica.
Il ricercatore Manfred Paul è stato l’unico a colpire il browser Firefox di Mozilla e l’exploit gli ha fruttato 100.000 dollari. Paul ha dimostrato il suo exploit il 18 maggio, e il 20 maggio Mozilla ha già annunciato un aggiornamento di Firefox che dovrebbe correggere le vulnerabilità da lui rivelate al Pwn2Own. Il ricercatore ha anche guadagnato 50.000 dollari per un hack di Safari.
I partecipanti al Pwn2Own hanno mostrato sei exploit per l’escalation dei privilegi di Windows 11, ciascuno del valore di 40.000 dollari. Quattro exploit di Ubuntu e uno di VirtualBox hanno fruttato agli hacker la stessa cifra.
Questo è il secondo Pwn2Own che si svolge quest’anno. In aprile, al Pwn2Own Miami 2022, incentrato sui sistemi di controllo industriale (ICS), i concorrenti hanno guadagnato un totale di 400.000 dollari per i loro exploit.
