В этом году хакерский конкурс Pwn2Own проходит без физического присутствия хакеров.
В первый день, несмотря на дистанционное управление, все участники взломали свои пункты назначения, включая Windows, Ubuntu и Safari.
Конкурс Pwn2Own проводится ежегодно с 2007 года в рамках конференции по безопасности CanSecWest в Ванкувере, Канада. В этом году снова запланировано три дня: с 18 по 20 марта. Но из-за пандемии COVID 19, никто из участников физически не присутствует, все попытки взлома осуществляются сотрудниками ZDI, которые контролируются участниками дистанционно через Интернет.
Важные партнеры мероприятия, такие как Microsoft и VMware, также доступны только онлайн. Однако они получают информацию об эксплуатируемых уязвимостях так же быстро и всесторонне, как если бы они находились в Ванкувере.
Взлом Tesla Model 3 запланирован на третий день, но потерпел неудачу, потому что очевидно никто не зарегистрировался на этот конкурс.
Кто будет «Мастером Pwn» в этом году?
В первый день было сделано четыре попытки взлома, каждые два часа. Все начинается с атаки группы из трех человек из Технологического института Джорджии на браузер Safari под macOS. Используя цепочку из шести ссылок, команде из Атланты удалось запустить приложение калькулятора и получить привилегии root в системе. Трио получит $ 70 000 и семь баллов за рейтинг мастера.
Ричард Чжу — победитель прошлого года, получил второе место по жребию. Чжу, который начинал как солист под именем Flourescence, успешно завершил свою атаку на Windows 10 с помощью уязвимости, которая до сих пор была неизвестна. Он получил 40000 долларов и четыре мастер-балла.
Манфред Пол из команды RedRocket CTF выбрал дистрибутив Linux Ubuntu в качестве цели. Новичок Pwn2Own воспользовался недостаточной проверкой пользовательского ввода для получения более высоких разрешений. Он получает приз 30000 долларов и три очка.
В конце первого дня команда действующих чемпионов снова начала атаковать Windows . Команда Fluoroacetate (Amat Cama и Richard Zhu) получила системные права с разрывом использования после освобождения. Это принесло им 40000 долларов и четыре очка.
Второй день соревнований начнётся 20.30.2020 в 18:00 по центральноевропейскому времени. Четыре хакера или команды смогут продемонстрировать свои навыки.
Целями являются VirtualBox, Acrobat Reader и VMware Workstation. Команда Fluoroacetate все еще участвует в соревнованиях, поэтому она все еще может обогнать команду Джорджии, (которая в настоящее время является лидером) и выиграть титул «Master of Pwn».