当地时间3月24日,2023年度的世界黑客大赛(Pwn2Own)迎来了最后一天的比赛,当天,参赛队伍通过演示5个针对 Windows 11、Ubuntu 和 VMware Workstation的零日漏洞之后,总共获得了18.5万 美元的奖金。
其中Ubuntu被3个不同的参赛团队攻破了3次,其中ASU SEFCOM和Theori团队的成员分别利用Double Free漏洞和释放后使用漏洞(UAF)各获得了3万美元奖金,而另一个团队Pham由于漏洞碰撞仅获得了1.5万美元。
而前两日对特斯拉大打出手、喜提Model 3 的Synacktiv团队在最后一天又把矛头瞄准了微软,利用UAF漏洞攻击了打了完整补丁的Windows 11系统,并最终斩获了3万美元。
但当天的较高奖金获得者要属STAR Labs 团队,他们使用未初始化的变量和 UAF 漏洞利用链攻击 VMWare Workstation,获得了8万美元的奖金。
最终,本届比赛的冠军队伍花落Synacktiv,他们以绝对优势斩获53万美元奖金和53个Master of Pwn 积分,还获赠了一辆特斯拉Model 3。而STAR Labs分别以19.5万美元奖金和19.5个Master of Pwn 积分、11.5万美元奖金和12个Master of Pwn 积分位列第2、3名。
Pwn2Own 2023排名前五的榜单
前两天战况回顾
在3月22日开赛当天,参赛团队在特斯拉 Model 3、Windows 11、Microsoft SharePoint、Oracle VirtualBox 等产品系统中演示了 12 个零日漏洞,累计获得了 37.5万美元奖金,而在比赛第二天,参赛团队又在 Windows 11、Ubuntu、特斯拉等系统产品中利用了 10 个零日漏洞,获得了 47.5万美元的奖金。
详细情况可参阅FreeBuf对比赛前两日战况发布的消息:《直击Pwn2Own 2023:有黑客喜提Model 3,斩获25万美金》。
本届Pwn2Own于3月22日-3月24日在加拿大温哥华举办,参赛者主要围绕汽车、企业应用程序和通信、服务器、虚拟化和本地特权升级 (EoP)等类别进行挑战。按照惯例,比赛结束后,被利用的漏洞将有90天的时间由供应商进行修复,主办单位趋势科技将在之后的零日计划中公开披露这些漏洞。
参考来源:Windows, Ubuntu, and VMWare Workstation hacked on last day of Pwn2Own
文章来自:https://www.freebuf.com/