Pwn2Own Vancouver 2022 ハッキング・コンテスト:Windows 11/Telsa Model 3 などが陥落

Windows 11 hacked again at Pwn2Own, Telsa Model 3 also falls

2022/05/20 BleepingComputer — Pwn2Own Vancouver 2022 ハッキング大会の2日目、出場者たちは再び Microsoft Windows 11 をハッキングし、また、Tesla Model 3 のインフォテインメント・システムにゼロデイを適用するデモを実演した。この日にデモを行った一番手は @Synacktiv チームであり、Tesla Model 3 のインフォテインメント・システムをターゲットにしながら、2つのユニークなバグ (Double-Free & OOBW) と、サンドボックス脱出のデモに成功し、$75,000 の報酬を獲得した。

また、@Jedar_LZ は、Tesla に対するゼロデイ・エクスプロイトのデモに失敗した。このバグは、定められた時間内に悪用されなかったが、Trend Micro の Zero Day Initiative (ZDI) は悪用の詳細を取得し、Tesla に対して開示した。

この2日目には、不適切なアクセス制御のバグによる、Windows 11 における3つ目のゼロデイ権限昇格が T0 によりデモされた。しかし、2つ目のWindows 11 のゼロデイ権限昇格については、定められた時間内に namnp はデモできなかった。

Pwn2Own コンテストの第1ラウンドでは、STAR Labs チームと Marcin Wiązowskiが、Windows 11 の2つのローカル権限昇格の脆弱性のデモに成功した。Ubuntu Desktop も2回ハッキングされた。ノースウェスタン大学の Bien Pham (@bienpnn) と Team TUTELARY が、2つの Use After Free バグを使って特権を拡大し、それぞれ $40,000 の報酬を獲得した。


Pwn2Own の初日に、ハッカーたちは 16 のゼロデイバグを悪用して、Windows 11/Microsoft Teams/Ubuntu Desktop/Apple Safari/Oracle Virtualbox/Mozilla Firefox などのハッキングに成功し、$800,000 を獲得している。

Pwn2Own の3日目には参加者たちが、Windows 11/Microsoft Teams/Ubuntu Desktop のゼロデイに対して、さらなる悪用に挑戦する予定だ。

Pwn2Ownでセキュリティ脆弱性のデモが公開された後に、それぞれのベンダーは報告された不具合に対するセキュリティ修正プログラムを開発し、リリースまでに 90日間の猶予が設定される。

セキュリティ研究者たちは、5月18日〜5月20日に開催された Pwn2Own Vancouver 2022 で、Web ブラウザ/仮想化製品/ローカル権限昇格/サーバー/エンタープライズ・コミュニケーション/自動車などの、複数カテゴリの製品をターゲットとした。未知のバグの悪用に成功した参加者たちは、3日間のコンテストを通じて、総額で 1,000,000 以上の賞金を獲得できる。

Pwn2Own Vancouver 2022 は大盛況だったようです。昨秋以降の Pwn2Own 関連の記事としては、2021年11月の「ハッキング・コンテスト Pwn2Own:プリンタ部門で Canon/HP が陥落」および「Pwn2Own Austin 2021 が終了:総額で1億円以上の報奨金が支払われた」と、2022年4月21日の「Pwn2Own Miami 2022 のテーマは ICS:各種の悪用証明に $400,000 の賞金」などがあります。よろしければ、ご参照ください。

%d bloggers like this: