PWN2OWN 2021-第一天黑客入侵微软产品获44万美元
享誉国际的趋势科技ZDI的PWN2OWN黑客大赛,已经拉开帷幕。
官方称,今年的活动将成为Pwn2Own历史上最大的活动之一,有23个单独的条目针对Web浏览器、虚拟化、服务器、本地特权提升、企业通信类别中的10种不同产品。
在Pwn2Own 2021黑客竞赛的第一天,参与者获得超过一百万美元的奖金,其中包括用于验证Microsoft产品进行模拟攻击的44万美元。
竞赛的组织者趋势科技的零日倡议(ZDI)表示,第一天进行7次尝试,其中有5次成功。
一个名为Devcore的团队通过链接身份验证绕过和本地特权升级漏洞来完全控制Microsoft Exchange服务器,获得奖金高达20万美元。另一个OV的研究人员因Microsoft Teams代码执行漏洞获得20万美元奖金。
RET2 Systems的Jack Dates在苹果的Safari Web浏览器中通过内核级代码执行整数溢出和越界写入漏洞获得了10万美元奖金。
同天,Viettel团队利用Windows 10中的本地特权升级漏洞获得了4万美元的奖金,而Flatt Security的Ryota Shiga因Ubuntu桌面中的特权升级漏洞获得了3万美元的奖金。
参赛黑客还尝试破解Parallels Desktop和Oracle VirtualBox虚拟化产品,但是未能在指定的时间内证明其利用能力。
在Pwn2Own 2021的第二天和第三天,白帽黑客将尝试演示针对Chrome和Edge、Zoom、Parallels Desktop、Microsoft Exchange、Ubuntu和Windows 10的攻击。
今年还有一个汽车类别用于黑客入侵特斯拉汽车,奖金高达60万美元和一辆车,目前似乎没有人报名参加这一类别的活动。当Pwn2Own引入汽车黑客类别时,一组研究人员在2019年获得特斯拉。2020年,由于疫情原因,参赛者没有机会入侵特斯拉。
Pwn2Own 2021的奖池超过150万美元的现金和其他奖品。在去年的活动中,参与者仅获得了27万美元的奖金。对比去年,一目了然今年奖金的丰厚。这是一个以黑客身份合法挣钱的好门路。