在最近举行的黑客竞赛中,白帽黑客在一天内成功入侵了 Windows 11 三次,引发了对该软件安全性的质疑。
2022 年 Pwn2Own 温哥华黑客大赛的第三天也是最后一天,三位独立的参与者使用零日漏洞破解了微软最新的操作系统。
第一位参赛者是来自 Viettel Cyber Security 的 nghiadt12,他通过 Integer Overflow 滥用了 Windows 11 提权漏洞。第二个和第三个是来自 REverse Tactics 的 Bruno Pujos 和 vnhthp1712,他们使用 Use-After-Free 和 Improper Access Control 漏洞来提升目标端点的权限。
偷车
除了 3 次成功尝试之外,DoubleDragon 团队也有一次尝试失败,未能在截止日期前演示该漏洞。
Ubuntu Desktop 也被成功入侵过一次,由 STAR Labs 的 Billy Jheng Bing-Jhong 添加。此攻击中也使用了 Use-After-Free 漏洞利用。
在整个 Pwn2Own 2022 期间,共有 17 名竞争对手多次入侵 Windows 11,还有 Ubuntu Desktop、Apple Safari、Oracle Virtualbox 和 Mozilla Firefox。
自2019年起,大赛新增了一个全新的品类——车载信息娱乐系统。今年,特斯拉 3 汽车中的这样一个系统被黑了。据媒体报道,一个名为 Sznactiv 的组织在信息娱乐系统中展示了一个沙盒逃逸漏洞,允许攻击者控制内置计算设备。
该组织因该漏洞获得了 75,000 美元的奖金,但表示它也可用于使用恶意软件发起第二阶段攻击,这种攻击可能更具破坏性,甚至可以允许全面接管设备。据Kurritu.org报道 ,完全破解特斯拉 Model 3 可为参与者赚取 600,000 美元和汽车本身。
成功的黑客攻击获得了超过一百万美元的奖励,供应商现在有 90 天的时间来解决问题。如果他们未能赶上最后期限,趋势科技的零日倡议将公开披露这些缺陷。
