image

Onderzoekers demonstreren zerodays in Tesla en VMware Workstation

donderdag 21 maart 2024, 10:39 door Redactie, 2 reacties

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben onderzoekers tal van zerodaylekken in Ubuntu Linx, Windows, Apple Safari, Google Chrome, Microsoft Edge en Oracle VirtualBox gedemonstreerd. Het waren echter zerodays in een Tesla Model 3 en VMware Workstation die op de eerste dag de show stalen. Pwn2Own is een wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Gedemonstreerde beveiligingslekken worden vervolgens aan de betreffende leverancier gemeld, zodat die het probleem kan verhelpen.

Tijdens de editie in Vancouver hebben deelnemers de keuze om zerodays te demonstreren in populaire browsers, containers, virtualisatiesoftware, kantoorsoftware, Microsoft-serversoftware, besturingssystemen, zakelijke communicatiesoftware en onderdelen van een Tesla Model 3 of Tesla Model S. Daarbij is het grootste bedrag te verdienen met een succesvolle aanval op de Tesla's. In het geval onderzoekers de autopilot weten te compromitteren wordt hier een bedrag van 500.000 dollar voor betaald.

Op de eerste dag lieten onderzoekers van Synacktiv zien hoe ze de Tesla "electronic control unit (ECU) met Vehicle (VEH) CAN BUS Control konden compromitteren. Hiervoor werd een enkele integer overflow gebruikt. Dit leverde de onderzoekers een beloning van 200.000 dollar op en een nieuwe Tesla Model 3. De andere demonstratie die opviel was een aanval op VMware Workstation.

Onderzoekers van Theori wisten via drie kwetsbaarheden uit VMware Workstation te breken en vervolgens code met systeemrechten op het onderliggende Windows-systeem uit te voeren. Deze aanval leverde de onderzoekers een bedrag van 130.000 dollar op. Details worden eerst met de betreffende leveranciers gedeeld, zodat die updates kunnen ontwikkelen. Vandaag vindt de tweede dag plaats van Pwn2Own Vancouver.

Reacties (2)
21-03-2024, 12:51 door Anoniem
Die eerste bij Ubuntu was al een bekende bug:
BUG COLLISION - The DEVCORE Team was able to execute their LPE attack against Ubuntu Linux. However, the bug they used was previously know. They still earn $10,000 and 1 Master of Pwn points.
Die andere is niet kritiek:
SUCCESS - Kyle Zeng from ASU SEFCOM used an ever tricky race condition to escalate privileges on Ubuntu Linux desktop. This earns him him $20,000 and 20 Master of Pwn points.
Ik vraag mij wel af waarom ze de minst veiliger Ubuntu nemen ipv bv redhat linux desktop.
Windows 11 is weer behoorlijk lek gebleken. https://www.zerodayinitiative.com/blog/2024/3/20/pwn2own-vancouver-2024-day-one-results
22-03-2024, 08:26 door Anoniem
Door Anoniem: Die eerste bij Ubuntu was al een bekende bug:
BUG COLLISION - The DEVCORE Team was able to execute their LPE attack against Ubuntu Linux. However, the bug they used was previously know. They still earn $10,000 and 1 Master of Pwn points.
Die andere is niet kritiek:
SUCCESS - Kyle Zeng from ASU SEFCOM used an ever tricky race condition to escalate privileges on Ubuntu Linux desktop. This earns him him $20,000 and 20 Master of Pwn points.
Ik vraag mij wel af waarom ze de minst veiliger Ubuntu nemen ipv bv redhat linux desktop.
Windows 11 is weer behoorlijk lek gebleken. https://www.zerodayinitiative.com/blog/2024/3/20/pwn2own-vancouver-2024-day-one-results

Vind 't allemaal heel knap hoor maar probeer dat maar een tegen een up-to-date ubuntu server box waar een firewall op draait.
Ook op windows zitten verreweg de meeste kwetsbaarheden in de GUI.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.