Την τρίτη και τελευταία ημέρα του διαγωνισμού hacking Pwn2Own του 2022 στο Βανκούβερ, ερευνητές ασφαλείας χάκαραν επιτυχώς το λειτουργικό σύστημα Windows 11 της Microsoft τρεις ακόμη φορές χρησιμοποιώντας εκμεταλλεύσεις zero-day.
Η πρώτη προσπάθεια της ημέρας στόχευσης των Ομάδων της Microsoft απέτυχε αφού η ομάδα DoubleDragon δεν μπόρεσε να παρουσιάσει την εκμετάλλευσή της εντός του καθορισμένου χρόνου.
Όλοι οι άλλοι διαγωνιζόμενοι χάκαραν τους στόχους τους, κερδίζοντας 160.000 $ αφού κατέβασαν τα Windows 11 τρεις φορές και το Ubuntu Desktop μία φορά.
Ο πρώτος που παρουσίασε την κλιμάκωση των προνομίων zero-day (μέσω Integer Overflow) στα Windows 11 την τρίτη ημέρα του Pwn2Own ήταν η nghiadt12 από την Viettel Cyber Security.
Ο Bruno Pujos από το REverse Tactics και το vinhthp1712 κλιμάκωσε επίσης τα προνόμια στα Windows 11 χρησιμοποιώντας ευπάθειες χρήσης-μετά-δωρεάν και ακατάλληλης πρόσβασης ελέγχου, αντίστοιχα.
Τελευταίο αλλά εξίσου σημαντικό, ο Billy Jheng Bing-Jhong ένα σύστημα που εκτελούσε το Ubuntu Desktop χρησιμοποιώντας ένα exploit Χρήση-Μετά-Δωρεάν.
Το Pwn2Own 2022 Vancouver τελείωσε με 17 ανταγωνιστές που κέρδισαν συνολικά $1.155.000 για zero-day exploits και αλυσίδες exploits που παρουσιάστηκαν σε τρεις ημέρες μετά από 21 προσπάθειες, μεταξύ 18 Μαΐου και 20 Μαΐου.
Την πρώτη ημέρα του Pwn2Own, οι hackers κέρδισαν με επιτυχία 60,0000$ μετά από-Σφάλματα ημέρας για την παραβίαση πολλών προϊόντων, συμπεριλαμβανομένου του λειτουργικού συστήματος Windows 11 της Microsoft και της πλατφόρμας επικοινωνίας Teams, του Ubuntu Desktop, του Apple Safari, του Oracle Virtualbox και του Mozilla Firefox.
Τη δεύτερη μέρα, οι διαγωνιζόμενοι κέρδισαν 195.000 δολάρια μετά την επίδειξη ελαττωμάτων στο σύστημα Infotainment Telsa Model 3, στο Ubuntu Desktop και στα Microsoft Windows 11.
Ερευνητές ασφαλείας παρουσίασαν έξι εκμεταλλεύσεις των Windows 11 κατά τη διάρκεια του διαγωνισμού, χάκαραν το Ubuntu Desktop τέσσερις φορές και παρουσίασαν τρεις ομάδες της Microsoft μηδέν- μέρες. Ανέφεραν επίσης πολλά ελαττώματα στο Apple Safari, το Oracle Virtualbox και το Mozilla Firefox.
Μετά την εκμετάλλευση των τρωτών σημείων και την αναφορά τους κατά τη διάρκεια του Pwn2Own, οι πωλητές έχουν στη διάθεσή τους 90 ημέρες για να εκδώσουν διορθώσεις ασφαλείας έως ότου το Zero Day Initiative της Trend Micro τις αποκαλύψει δημόσια.