2023/03/26

Pwn2Own Vancouver 2023 termina com 1M de recompensas e um Tesla Model 3 oferecido

O Pwn2Own voltou a revelar-se um pesadelo para as empresas tecnológicas, com hackers a demonstrarem falhas que permitiram controlar o Windows 11, Ubuntu, VMware, e até um Tesla Model 3.

O Pwn2Own é um dos eventos de referência para os hackers éticos, onde diversas equipas competem para demonstrar vulnerabilidades contra os mais variados produtos, em busca das recompensas que poderão financiar meses ou anos de trabalho.

Neste caso, e como já tem vindo a ser tradição, sucumbiram produtos como o Windows 11, macOS, Ubuntu Desktop, VMware Workstation, VirtualBox, e muitos outros, vítimas de vulnerabilidades 0-day descobertas pelos grupos, com um total de prémios atribuídos de mais de 1 milhão de dólares... e um Tesla Model 3.

O grupo Synacktiv não só amealhou 530 mil dólares devido a diversas vulnerabilidades, como também ficou com um Tesla Model 3 em que demonstrou vulnerabilidades 0-day que permitiam obter acesso root no sistema de infotainmente, e que potencialmente permitiriam obter o controlo total do veículo quando combinadas.
O elemento de ataque terá sido uma falha TOCTOU (Time-of-check-to-time-of-use), que consiste em enganar o sistema entre o momento que faz uma verificação e o momento em que vai realizar uma operação com base nesse resultado. Por exemplo, pode verificar se existe um ficheiro temporário que irá ser eliminado no caso de existir, mas com um atacante a intrometer-se ali pelo meio e a fazer o redireccionamento para outro ficheiro que não deveria ser mexido.

Um bom (e lucrativo) ramo de actividade por quem se interessar no funcionamento de baixo nível dos sistemas de software e hardware, e onde garantidamente não irá faltar trabalho durante as próximas décadas.

Publicado por Carlos Martins às 21:00


Sem comentários:

Enviar um comentário (problemas a comentar?)

Subscrever: Enviar feedback (Atom)