Сегодня, 21 марта, в рамках первого дня соревнований по компьютерному взлому Pwn2Own Vancouver 2024 участники продемонстрировали множество всевозможных уязвимостей в различных операционных системах и суммарно выиграли 732 500 долларов, а также автомобиль Tesla Model 3. Например, мероприятие стартовало с того, что Абдул Азиз Харири (Abdul Aziz Hariri), участник команды Haboob SA, использовал эксплойт в Adobe Reader, сочетающий в себе обход ограничений API и ошибку инъекции команд для выполнения стороннего кода в macOS — это позволило ему заработать 50 тысяч долларов.
Но куда больше и быстрее заработала команда Synacktiv — всего за 30 секунд им удалось взломать электронный блок управления автомобиля Tesla при помощи шины CAN BUS путём целочисленного переполнения. За это команда получила награду в 200 тысяч долларов и Tesla Model 3 в подарок. Впрочем, у специалистов по взлому будет дополнительная возможность заработать на Tesla — производитель электрических автомобилей заявил, что хакеры могут получить максимальную награду в 500 тысяч долларов и сам автомобиль Tesla Model 3 в случае взлома, который позволяет получить полный удалённый доступ с неограниченными правами при работе с автопилотом транспортного средства.
Досталось в первый день конкурса и веб-браузерам — Манфред Пол (Manfred Paul) сумел взломать Apple Safari, Google Chrome и Microsoft Edge при помощи трёх различных уязвимостей нулевого дня — за это он получил 102 500 долларов. Ещё специалистам по взлому удалось задействовать ошибки в Oracle VirtualBox и UAF Windows, дабы выйти за пределы виртуальной машины и повысить уровень своих привилегий до SYSTEM. Также другая команда задействовала баг виртуальной машины VMware Workstation, покинув рабочую среду и получив возможность выполнять код от имени SYSTEM на хостовой операционной системе Windows.
Интересно, что команде DEVCORE Research Team удалось заработать 30 тысяч долларов за повышение своего уровня привилегий до уровня SYSTEM на полностью исправной операционной системе Windows 11. Более того, эта же команда заработала ещё 10 тысяч долларов за демонстрацию уже достаточно известного эксплойта, который позволяет локально повысить уровень доступа в Ubuntu Linux. А завтра, 22 марта, команды попытаются показать новые способы взлома популярных браузеров, операционных систем и не только — всё ради призового фонда в 1,5 миллиона долларов.
