Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Pwn2Own

Pwn2Own

Windows 11, Tesla, Ubuntu, dan macOS diretas di Pwn2Own 2023

by

Pada hari pertama Pwn2Own Vancouver 2023, peneliti keamanan berhasil mendemonstrasikan eksploitasi Tesla Model 3, Windows 11, dan macOS zero-day dan rantai eksploitasi untuk memenangkan $375.000 dan Tesla Model 3.

Yang pertama jatuh adalah Adobe Reader dalam kategori aplikasi perusahaan setelah Abdul Aziz Hariri dari Haboob SA (@abdhariri) menggunakan rantai eksploitasi yang menargetkan rantai logika 6-bug yang menyalahgunakan beberapa tambalan gagal yang lolos dari kotak pasir dan melewati daftar API yang dilarang di macOS untuk dapatkan $50.000.

Sepanjang kontes Pwn2Own Vancouver 2023, peneliti keamanan akan menargetkan produk dalam aplikasi perusahaan, komunikasi perusahaan, eskalasi hak istimewa (EoP) lokal, server, virtualisasi, dan kategori otomotif.

Pada hari kedua, pesaing Pwn2Own akan mendemonstrasikan eksploitasi zero-day yang menargetkan Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root, dan Desktop Ubuntu.

Pada hari terakhir kontes, peneliti keamanan akan menetapkan target mereka lagi di Desktop Ubuntu dan mencoba meretas Microsoft Teams, Windows 11, dan VMware Workstation.

Antara 22 Maret dan 24 Maret, kontestan dapat memperoleh $1.080.000 dalam bentuk tunai dan hadiah, termasuk mobil Tesla Model 3. Penghargaan tertinggi untuk meretas Tesla sekarang adalah $150.000, dan mobil itu sendiri.

Setelah kerentanan zero-day didemonstrasikan dan diungkapkan selama Pwn2Own, vendor memiliki waktu 90 hari untuk membuat dan merilis perbaikan keamanan untuk semua kelemahan yang dilaporkan sebelum Zero Day Initiative dari Trend Micro mengungkapkannya secara publik.

selengkapnya : bleepingcomputer

Samsung Galaxy S21 diretas pada hari kedua Pwn2Own Austin

by

Para kontestan meretas smartphone Samsung Galaxy S21 dihari kedua kompetisi Pwn2Own Austin 2021, serta router, perangkat NAS, speaker, dan printer dari Cisco, TP-Link, Western Digital, Sonos, Canon, Lexmark, dan HP.

Zero Day Initiative dari Trend Micro telah memberikan $777.500 selama dua hari pertama Pwn2Own Austin, dengan $415.000 diberikan pada hari kedua dan $362.500 won pada hari pertama.

Tim Synacktiv mempertahankan sedikit keunggulan di klasemen Master of Pwn dengan 15 poin Master of Pwn dan $ 150.000 sejauh ini, satu poin di depan tim DEVCORE yang memiliki 14 poin dan telah mendapatkan $ 140.000.

Image : ZD

Mr L dan Nguyễn Hoàng Thạch (@hi_im_d4rkn3ss) dari STARLabs bisa mengeksekusi kode pada Samsung Galaxy S21 yang menjalankan pembaruan keamanan Android 11 terbaru.

Meskipun begitu, upaya tersebut ditandai sebagai “tabrakan” setelah terungkap bahwa mereka menggunakan bug yang diketahui vendor. Namun, mereka masih mendapatkan $25.000 dan 2,5 poin Master of Pwn, mencapai total $75.000 dalam penghargaan setelah dua hari pertama kompetisi.

Samsung Galaxy S21 juga merupakan satu-satunya perangkat yang tidak terganggu pada hari pertama setelah Ken Gannon dari F-Secure Labs tidak dapat menjalankan eksploitasi zero-day-nya dalam waktu yang ditentukan.

Peneliti keamanan menargetkan ponsel, printer, router, penyimpanan yang terpasang ke jaringan (NAS), speaker pintar, TV, penyimpanan eksternal, dan perangkat lain, semuanya terbaru dan dalam konfigurasi default mereka. Satu-satunya pengecualian yaitu perangkat 3TB My Cloud Home Personal Cloud NAS Western Digital, yang masih menjalankan rilis perangkat lunak beta.

Hadiah tertinggi adalah untuk perangkat dalam kategori ponsel, dengan hadiah uang tunai hingga $ 150.000.

Peneliti juga bisa mendapatkan bonus $50.000 jika eksploitasi browser iPhone atau Pixel mereka akan dijalankan dengan hak istimewa tingkat kernel, mengambil penghargaan maksimum untuk satu tantangan menjadi total $200.000.

Edisi acara yang berfokus pada konsumen Pwn2Own Austin ini juga merupakan yang pertama diperpanjang hingga empat hari setelah 22 kontestan berbeda mendaftar untuk 58 total entri.

Selengkapnya : Bleeping Computer

Windows 10, iOS 15, Ubuntu, Chrome jatuh di kontes peretasan Tianfu China

by

Peneliti keamanan China membawa pulang $ 1,88 juta setelah meretas beberapa perangkat lunak paling populer di dunia di Piala Tianfu, kompetisi peretasan terbesar dan paling bergengsi di negara itu.

Kontes, yang berlangsung selama akhir pekan 16 dan 17 Oktober di kota Chengdu, dimenangkan oleh peneliti dari perusahaan keamanan China Kunlun Lab, yang membawa pulang $654.500, sepertiga dari total dompet.

Kompetisi, sekarang pada edisi keempat, berlangsung menggunakan aturan klasik yang ditetapkan oleh kontes peretasan Pwn2Own.

Pada bulan Juli, penyelenggara mengumumkan serangkaian target, dan peserta memiliki waktu tiga hingga empat bulan untuk mempersiapkan eksploitasi yang akan mereka lakukan pada perangkat yang disediakan oleh penyelenggara di panggung kontes.

Para peneliti memiliki tiga upaya 5 menit untuk menjalankan eksploitasi mereka, dan mereka dapat mendaftar untuk meretas beberapa perangkat jika mereka ingin meningkatkan kemenangan mereka.

Edisi tahun ini mencakup daftar 16 kemungkinan target dan merupakan salah satu edisi Piala Tianfu yang paling sukses, dengan 11 peserta memasang eksploitasi yang berhasil terhadap 13 target.

Satu-satunya yang tidak berhasil diretas termasuk Synology DS220j NAS, smartphone Xiaomi Mi 11, dan kendaraan listrik China yang mereknya tidak pernah diungkapkan — yang bahkan tidak ada peserta yang mendaftar untuk mencoba mengeksploitasinya.

Di sisi lain, eksploitasi berhasil dipasang terhadap hampir semua hal lainnya, berikut list nya:

  • Windows 10 – diretas 5 kali
  • Adobe PDF Reader – 4 kali
  • Ubuntu 20 – 4 kali
  • Paralel VM – 3 kali
  • iOS 15 – 3 kali
  • Apple Safari – 2 kali
  • Google Chrome – 2 kali
  • Router ASUS AX56U – 2 kali
  • Docker CE – 1 kali
  • VMWare ESXi – 1 kali
  • VMWare Workstation – 1 kali
  • qemu VM – 1 kali
  • Microsoft Exchange – 1 kali

Selengkapnya: The Record