Tesla, Windows 11, macOS e Ubuntu: le vittime illustri di Pwn2own 2023

Durante la prima giornata dell'edizione 2023 del Pwn2own di Vancouver i ricercatori di sicurezza sono riusciti a dimostrare con successo una serie di vulnerabilità zero-day a carico dell'autovettura Tesla Model 3, dei sistemi operativi Windows 11,  macOS e Ubuntu.

Pwn2own è una competizione organizzata dalla CanSecWest in cui i ricercatori di sicurezza mettono alla prova la tenuta di applicazioni aziendali, sistemi operativi, server e prodotti automotive provando a sfruttare vulnerabilità note o vulnerabilità zero-day, cioè quelle che ancora non sono di pubblico dominio,

La prima vittima è stata Adobe Reader nella categoria delle applicazioni enterprise. Il ricercatori Abdul Aziz Hariri di Haboob SA ha utilizzato una catena di exploit che sfruttava 6 bug, abusava di più patch non andate a buon fine per riuscire a sfuggire dalla sandbox e dalla lista di API vietate su macOS. La dimostrazione ha fruttato al ricercatore un premio di 50 mila dollari.

Premio doppio, 100 mila dollari, per il team STAR Labs che ha dato dimostrazione di una catena di exploit zero-day a carico della piattaforma di collaborazione SharePoint di Microsoft, e altri 15 mila dollari di premio per la compromissione di Ubuntu Desktop sfruttando una vulnerabilità precedentemente nota.

Stesso premio in contanti, ma con in più una Tesla Model 3, per il team Synacktiv che ha portato a termine con successo un attacco TOCTOU (time-of-check to time-of-use, un tipo di attacco che comprende il controllo di uno stato di un sistema e il successivo uso del risultato del controllo) contro il Gateway Tesla. Una vulnerabilità TOCTOU zero-day è stata usata anche per aumentare i privilegi su macOS, fruttando al team un premio di 40 mila dollari.

40 mila dollari anche per Bien Pham di Qriois Secuirty, che ha saputo violare Oracle VirtualBox sfruttando una lettura OOB e una catena di exploit stack-based buffer overflow. Infine il ricercatore Marcin Wiązowski si è portato a casa un premio di 30 mila dollari dimostrando la possibilità di aumentare i privilegi di Windows 11 usando una vulnerabilità zero-day di convalida di input improprio.

Nelle prossime giornate della competizione i concorrenti si concentreranno su exploit zero-day rivolti a Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root, Ubuntu Desktop, Microsoft Teams, Windows 11 e VMware Workstation. La manifestazione mette in palio un montepremi di oltre 1 milione di dollari in contanti e un'auto Tesla Model 3.

Una volta che gli exploit vengono dimostrati nel corso della competizione, le parti interessate hanno 90 giorni di tempo per indagare le vulnerabilità e rilasciare le opportune patch di sicurezza. Scaduti i 90 giorni la Zero Day Initiative di Trend Micro si occuperà di divulgare pubblicamente le vulnerabilità, che queste siano state corrette o meno.