Pwn2Own: l’hackaton Trend Micro distribuisce un montepremi record

La Zero Day Initiative riconosce oltre 1 milione di dollari per le ultime vulnerabilità scoperte

Trend Micro ha annunciato i vincitori dell’edizione primaverile di Pwn2Own, che in questa occasione si è tenuta a Vancouver. I partecipanti hanno scoperto 27 vulnerabilità uniche zero-day, aiutando i vendor a rendere i propri prodotti più sicuri e spartendosi un montepremi di 1.035.000 dollari, oltre a una Tesla Model 3.

“Oggi viviamo in ambienti iperconnessi e più nuove vulnerabilità riusciamo a trovare, meglio è” ha affermato Matteo Arrigoni, Principal Sales Engineer Trend Micro Italia. “Ancora una volta Pwn2Own ha dimostrato che, per quanti premi in denaro si possano mettere in palio, i vantaggi reali per le aziende e gli utenti valgono molto di più. Congratulazioni al team di Synacktiv per i mesi di duro lavoro che hanno portato a questo evento”.

I ricercatori di Synacktiv (in foto) hanno ottenuto importanti successi contro Tesla, compreso lo storico tentativo di utilizzare un heap overflow e una scrittura OOB per sfruttare il Tesla – Infotainment Unconfined Root, che ha fatto guadagnare loro il primo premio Tier 2 mai assegnato in una competizione Pwn2Own. Il team ha anche eseguito con successo un exploit TOCTOU contro Tesla – Gateway.

Highlight:

• STAR Labs ha seguito una 2-bug chain contro Microsoft SharePoint per $100.000
• Team Viettel ha utilizzato una 2-bug chain contro Microsoft Teams per $75.000
• AbdulAziz Hariri ha dimostrato una 6-bug chain contro Adobe Reader per $50.000
• Windows 11, macOS e Ubuntu sono stati hackerati durante la competizione

Il vincitore che si è aggiudicato il titolo di Master of Pwn è stato Synacktiv, con 53 punti, ha inoltre vinto 530.000 dollari e una Tesla Model 3 e $25.000 di bonus.
I componenti del team sono Eloi Benoist-Vanderbeken, David Berard, Vincent Dehors, Tanguy Dubroca, Thomas Bouzerar e Thomas Imbert.

Ecco la classifica dei primi 5 qualificati:

1. Synacktiv – $530.000
2. STAR Labs – $195.000
3. Team Viettel – $115.000
4. Qrious Security – $55.000
5. AbdulAziz Hariri – $50.000

L’hackaton Pwn2Own è patrocinata dalla Zero Day Initiative ed è giunta al XVI anno. L’ultima edizione si è svolta tra il 22 e il 24 marzo presso lo Sheraton Wall Center di Vancouver, in occasione dell’evento CanSecWest. La prossima Pwn2Own si svolgerà a Toronto in ottobre.

Contenuti correlati

• 
  Cybersecurity nella PA e nella sanità, l’andamento nei rapporti Clusit

  Gli attacchi condotti dalla criminalità organizzata verso l’Italia sono in aumento più che nel resto del mondo, con una percentuale del 65% tra il 2022 e il 2023 (verso una crescita del 12% a livello globale). A...
• 
  I robot umanoidi scaldano i muscoli

  Negli ultimi anni si è registrata una notevole crescita del numero e della qualità dei programmi di ricerca che si dedicano a realizzare robot umanoidi, con numerose startup e marchi consolidati che mostrano prototipi sempre più evoluti...
• 
  I robot umanoidi scaldano i muscoli

  Presto, i robot umanoidi potrebbero trasformarsi da curiosità di laboratorio a credibili risorse per l’industria. Diversi marchi industriali stanno sviluppando robot con forma umana progettati per impieghi nella catena logistica e nelle linee di produzione. Leggi l’articolo
• 
  I cinque pilastri del DORA – Digital Operational Resilience Act

  L’importanza della resilienza operativa per le organizzazioni ha portato l’Unione Europea alla definizione del Digital Operational Resilience Act (DORA), istituito per rafforzare le strutture delle tecnologie dell’informazione e della comunicazione (ICT) delle aziende del settore finanziario. L’approccio...
• 
  AI generativa, la rivoluzione che cambierà il mondo

  L’Intelligenza Artificiale Generativa sta suscitando un enorme interesse grazie alla sua rapida diffusione e alle sue promettenti applicazioni. Dagli sviluppi tecnologici ai temi controversi riguardanti etica, proprietà intellettuale e impatti sul lavoro, i nodi da sciogliere e...
• 
  Il cammino sempre più veloce dei robot umanoidi

  Il sogno di realizzare un automa con forme e funzioni vicine a quelle umane, un robot umanoide, sembrerebbe più vicino, grazie ai costanti progressi in campi come l’elettronica, la meccanica e la capacità di calcolo. La ricerca...
• 
  L’automotive è sempre più sotto attacco

  Trend Micro annuncia che Pwn2Own, la competizione bug bounty della Trend Micro Zero Day Initiative (ZDI), dal prossimo anno includerà un evento indipendente dedicato all’ecosistema dei veicoli connessi. La nuova hackaton si chiamerà Pwn2Own Automotive e si...
• 
  Hacking dei server ICS Historian: punto di snodo dalla rete IT ai sistemi OT

  I server historian vengono utilizzati all’interno delle reti aziendali ormai da molto tempo. Questi database critici, infatti, non solo archiviano i dati raccolti dai sistemi di controllo industriale, ma si estendono anche alla rete aziendale condividendo le...
• 
  SyncJacking: la vulnerabilità dell’hard matching consente l’acquisizione dell’account Azure AD

  Semperis ha scoperto un abuso della sincronizzazione hard matching in Azure AD Connect che può portare all’acquisizione di account Azure AD. Questi risultati si basano sulla ricerca pubblicata in agosto da Semperis, riguardo l’abuso del soft matching (noto...
• 
  Trattori formato Tesla

  Le promesse di riduzione dei costi energetici, aumento della produttività e miglioramento dell’affidabilità, associate alla pressione derivante dalla regolamentazione delle emissioni, stanno alimentando una rapida innovazione in molte tipologie di Nrmm, le ‘macchine mobili non stradali’ Leggi l’articolo