O Pwn2Own Vancouver 2024, realizado entre os dias 20 e 22 da semana passada, terminou com os pesquisadores de segurança faturando US$ 1.132.500,00 ao demonstrarem 29 vulnerabilidades de dia zero. Somente no primeiro dia do evento, os participantes ganharam um total de US$ 732.500 por comprovarem com sucesso explorações em um carro Tesla, sistemas operacionais Linux e Windows e vários softwares amplamente utilizados no mercado.
A organizadora do Pwn2Own, a Zero Day Initiative (ZDI) da Trend Micro, anunciou que a equipe que representa a empresa de segurança cibernética Synacktiv ganhou US$ 200 mil por uma exploração de estouro de número inteiro da unidade de controle eletrônico (ECU) Tesla com controle de barramento CAN (barramento de comunicação serial). Além do dinheiro, os pesquisadores ganharam um Tesla Model 3.
A equipe da Synacktiv já havia descoberto vulnerabilidades da Tesla em várias competições Pwn2Own, incluindo num recente evento com tema automotivo, no Pwn2Own Vancouver 2023 e no Pwn2Own Vancouver 2022. Esta é a segunda vez que as descobertas lhes rendem um carro.
Outra recompensa significativa foi conquistada pela equipe que representa a Theori. Eles receberam US$ 130 mil por uma cadeia de exploração envolvendo uma vulnerabilidade guest-to-host escape no host do VMware Workstation e execução arbitrária de código com privilégios de sistema no host Windows. Guest-to-host escape é uma vulnerabilidade normalmente associada ao virtualizador, que permite ao atacante romper o isolamento de máquinas virtuais e acessar o host.
Veja isso
Pwn2Own Vancouver premia hackers com US$ 1,1 milhão
Pwn2own premia hacking de impressoras com US$ 60 mil
Outra exploração guest-to-host escape para host de alto valor teve como alvo o Oracle VirtualBox e rendeu aos pesquisadores da REverse Tactics US$ 90 mil. Dois outros pesquisadores ganharam US$ 20 mil cada por explorações separadas do Oracle VirtualBox.
Os participantes do Pwn2Own também ganharam US$ 60 mil pela descoberta de um exploit no Chrome, US$ 60 mil por um exploit no Safari, US$ 50 mil por um exploit no Adobe Reader, US$ 42.500 por um exploit no Chrome e no Edge, US$ 30 mil por um bug de escalonamento de privilégio local no Windows 11 e um total de US$ 30 mil por dois exploits de escalonamento de privilégio local no Ubuntu.