Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Mar 25, 2024 Marina Londei Competizioni, In evidenza, News, RSS, Vulnerabilità 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon della Zero Day Initiative. Il primo giorno di gara ha visto trionfare il team di Synacktiv, il quale, riuscendo ad hackerare una Tesla, si è portato a casa 200.000 dollari e una Model 3.
Quest’anno la competizione ha visto la partecipazione di molti più team rispetto agli anni passati; di conseguenza, i premi si sono alzati notevolmente. Solo durante la prima giornata gli hacker hanno vinto un totale di 723.500 dollari, e con la seconda giornata si è arrivati alla cifra finale di 1.300.000 dollari.
In cima alla classifica del secondo giorno di competizione c’è Manfred Paul, ricercatore di sicurezza che il giorno precedente aveva vinto la bellezza di 102.500 dollari per aver individuato e sfruttato una vulnerabilità di Safari. Il secondo giorno di Pwn2Own Paul ha sfruttato una Out Of Bound Write per effettuare una sandbox escape su Mozilla. Sommando i punti del giorno precedente a questi, Paul ha ricevuto il titolo di Master of Pwn, vincendo l’hackathon.
Windows 11 esce un po’ malconcio dalla gara: Marcin Wiązowsk ha individuato un bug di validazione impropria di input sul sistema operativo, riuscendo ad effettuare un’escalation dei privilegi, e anche Gabriel Kirkpatrick è riuscito a compromettere Windows 11 con un’escalation dei privilegi, nel suo caso sfruttando un bug di race condition. Con loro c’è anche Valentina Palmiotti che ha sfruttato una vulnerabilità di aggiornamento improprio del reference count per elevare i privilegi sul sistema.
L’edizione 2024 di Pwn2Own è stata anche la prima ad assistere a un exploit di escape su Docker desktop: il team di STAR Labs SG ha sfruttato due vulnerabilità, una delle quali era un bug di use-after-free. Per questo exploit il team ha vinto 60.000 dollari.
Adesso tocca ai vendor fare la loro parte: da regolamento hanno 90 giorni per sistemare le vulnerabilità segnalate. Riusciranno nell’impresa?
Nov 21, 2024 0
Nov 18, 2024 0
Ott 30, 2024 0
Ott 29, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...