Pwn2Own: l’hackaton Trend Micro distribuisce un montepremi record

La Zero Day Initiative riconosce oltre 1 milione di dollari per le ultime vulnerabilità scoperte

Pubblicato il 4 aprile 2023

Trend Micro ha annunciato i vincitori dell’edizione primaverile di Pwn2Own, che in questa occasione si è tenuta a Vancouver. I partecipanti hanno scoperto 27 vulnerabilità uniche zero-day, aiutando i vendor a rendere i propri prodotti più sicuri e spartendosi un montepremi di 1.035.000 dollari, oltre a una Tesla Model 3.

“Oggi viviamo in ambienti iperconnessi e più nuove vulnerabilità riusciamo a trovare, meglio è” ha affermato Matteo Arrigoni, Principal Sales Engineer Trend Micro Italia. “Ancora una volta Pwn2Own ha dimostrato che, per quanti premi in denaro si possano mettere in palio, i vantaggi reali per le aziende e gli utenti valgono molto di più. Congratulazioni al team di Synacktiv per i mesi di duro lavoro che hanno portato a questo evento”.

I ricercatori di Synacktiv (in foto) hanno ottenuto importanti successi contro Tesla, compreso lo storico tentativo di utilizzare un heap overflow e una scrittura OOB per sfruttare il Tesla – Infotainment Unconfined Root, che ha fatto guadagnare loro il primo premio Tier 2 mai assegnato in una competizione Pwn2Own. Il team ha anche eseguito con successo un exploit TOCTOU contro Tesla – Gateway.

Highlight:

  • STAR Labs ha seguito una 2-bug chain contro Microsoft SharePoint per $100.000
  • Team Viettel ha utilizzato una 2-bug chain contro Microsoft Teams per $75.000
  • AbdulAziz Hariri ha dimostrato una 6-bug chain contro Adobe Reader per $50.000
  • Windows 11, macOS e Ubuntu sono stati hackerati durante la competizione

Il vincitore che si è aggiudicato il titolo di Master of Pwn è stato Synacktiv, con 53 punti, ha inoltre vinto 530.000 dollari e una Tesla Model 3 e $25.000 di bonus.
I componenti del team sono Eloi Benoist-Vanderbeken, David Berard, Vincent Dehors, Tanguy Dubroca, Thomas Bouzerar e Thomas Imbert.

Ecco la classifica dei primi 5 qualificati:

  1. Synacktiv – $530.000
  2. STAR Labs – $195.000
  3. Team Viettel – $115.000
  4. Qrious Security – $55.000
  5. AbdulAziz Hariri – $50.000

L’hackaton Pwn2Own è patrocinata dalla Zero Day Initiative ed è giunta al XVI anno. L’ultima edizione si è svolta tra il 22 e il 24 marzo presso lo Sheraton Wall Center di Vancouver, in occasione dell’evento CanSecWest. La prossima Pwn2Own si svolgerà a Toronto in ottobre.



Contenuti correlati

  • I cinque pilastri del DORA – Digital Operational Resilience Act

    L’importanza della resilienza operativa per le organizzazioni ha portato l’Unione Europea alla definizione del Digital Operational Resilience Act (DORA), istituito per rafforzare le strutture delle tecnologie dell’informazione e della comunicazione (ICT) delle aziende del settore finanziario. L’approccio...

  • AI generativa, la rivoluzione che cambierà il mondo

    L’Intelligenza Artificiale Generativa sta suscitando un enorme interesse grazie alla sua rapida diffusione e alle sue promettenti applicazioni. Dagli sviluppi tecnologici ai temi controversi riguardanti etica, proprietà intellettuale e impatti sul lavoro, i nodi da sciogliere e...

  • Il cammino sempre più veloce dei robot umanoidi

    Il sogno di realizzare un automa con forme e funzioni vicine a quelle umane, un robot umanoide, sembrerebbe più vicino, grazie ai costanti progressi in campi come l’elettronica, la meccanica e la capacità di calcolo. La ricerca...

  • L’automotive è sempre più sotto attacco

    Trend Micro annuncia che Pwn2Own, la competizione bug bounty della Trend Micro Zero Day Initiative (ZDI), dal prossimo anno includerà un evento indipendente dedicato all’ecosistema dei veicoli connessi. La nuova hackaton si chiamerà Pwn2Own Automotive e si...

  • Hacking dei server ICS Historian: punto di snodo dalla rete IT ai sistemi OT

    I server historian vengono utilizzati all’interno delle reti aziendali ormai da molto tempo. Questi database critici, infatti, non solo archiviano i dati raccolti dai sistemi di controllo industriale, ma si estendono anche alla rete aziendale condividendo le...

  • SyncJacking: la vulnerabilità dell’hard matching consente l’acquisizione dell’account Azure AD

    Semperis ha scoperto un abuso della sincronizzazione hard matching in Azure AD Connect che può portare all’acquisizione di account Azure AD. Questi risultati si basano sulla ricerca pubblicata in agosto da Semperis, riguardo l’abuso del soft matching (noto...

  • Trattori formato Tesla

    Le promesse di riduzione dei costi energetici, aumento della produttività e miglioramento dell’affidabilità, associate alla pressione derivante dalla regolamentazione delle emissioni, stanno alimentando una rapida innovazione in molte tipologie di Nrmm, le ‘macchine mobili non stradali’ Leggi l’articolo

  • Tesla: due prototipi di robot umanoide

    Tesla, nel corso della sua giornata dedicata all’intelligenza artificiale, l’AI Day tenuto a Palo Alto (California), ha rivelato al pubblico il suo primo reale prototipo di robot umanoide, che è stato costruito in soli sei mesi utilizzando...

  • Nozomi Networks e Stormshield migliorano la sicurezza degli asset nelle reti OT
    Una ricerca scopre cinque vulnerabilità nei PLC di sicurezza Mitsubishi

    Alla fine del 2020, Nozomi Networks Labs ha iniziato un progetto di ricerca su Melsoft, il protocollo di comunicazione utilizzato dai PLC di sicurezza Mitsubishi e GX Works3, il software corrispondente delle workstation di progettazione. L’analisi si...

  • Nozomi Networks Labs: gli attacchi ransomware costano milioni alle infrastrutture critiche e industriali

    Un nuovo report pubblicato da Nozomi Networks Labs rileva una crescita allarmante delle minacce informatiche nella prima metà del 2021. Una gran parte degli attacchi deriva da gruppi emergenti di Ransomware as a Service (RaaS) che stanno...

Scopri le novità scelte per te x