Advertentie
Tijdens de jaarlijkse editie van Pwn2Own in Berlijn hebben ethische hackers opnieuw laten zien hoe kwetsbaar populaire softwareplatformen kunnen zijn. In totaal werd er meer dan een miljoen dollar aan prijzengeld uitgekeerd voor 28 nieuw ontdekte zero-day-kwetsbaarheden, waaronder in Windows 11 en Firefox.
Grote platforms onder vuur
Deelnemers van over de hele wereld namen het op tegen bekende doelwitten zoals Windows 11, Linux, Firefox, virtualisatieoplossingen en netwerkhardware. Op de tweede dag stond de teller al op 20 nieuw ontdekte lekken. Deze werden zoals gebruikelijk vertrouwelijk gemeld aan de betrokken leveranciers, die nu 90 dagen de tijd krijgen om patches uit te brengen.
Primeur: AI als nieuw doelwit
Voor het eerst was er ook een speciale categorie gericht op AI-systemen. In plaats van simpele prompt-injecties moesten deelnemers volledige code-executie realiseren op AI-frameworks.
Tijdens de primeur van de AI-categorie wist Sina Kheirkhah van het Summoning Team als eerste deelnemereen succesvolle aanval uit te voeren. Hij verdiende daarmee $20.000 voor een exploit op de Chroma open source AI-database.
In totaal werden er zeven hacks gevonden op gebied van AI, wat de noodzaak van cybersecurity op gebied van AI onderstreept,.
Windows 11 meerdere keren succesvol gecompromitteerd
Chen Le Qi van STARLabs SG combineerde een use-after-free met een integer-overflow en verkreeg systeemrechten op Windows 11. Goed voor $30.000 en 3 punten.
Marcin Wiązowski gebruikte een out-of-bounds write voor privilege-escalatie, eveneens op Windows 11, en verdiende ook $30.000 en 3 punten.
Hyeonjin Choi van Out Of Bounds wist via een type confusion-bug extra accountrechten te krijgen en won $15.000 en 3 punten.
Firefox opnieuw doelwit van Manfred Paul
De Duitse onderzoeker Manfred Paul keerde terug met een succesvolle aanval op Firefox via een integer-overflow. Hij incasseerde daarmee $50.000, wederom met dank aan zijn grondige kennis van de browser.
"Master of Pwn"-titel naar STAR Labs SG
Het STAR Labs SG Team werd met $320.000 aan prijzengeld en 35 punten gekroond tot “Master of Pwn”. Deze titel gaat elk jaar naar het team dat de meeste succesvolle aanvallen uitvoert met de hoogste moeilijkheidsgraad.
Marcin Wiązowski in actie
Pwn2Own wordt sinds 2007 georganiseerd en staat bekend als een van de meest prestigieuze hacking-wedstrijden. De filosofie achter het evenement: ethische hackers belonen voor het melden van kwetsbaarheden vóórdat kwaadwillenden ze kunnen misbruiken.
Wat vind jij van deze aanpak? Zijn bug bounty-wedstrijden zoals Pwn2Own een goede manier om software veiliger te maken? Deel je mening in de reacties.