Эксплоиты для Microsoft Teams принесли хакерам $450 000 на Pwn2Own 2022

Общая сумма призовых денег, присужденная участникам за один день мероприятия стала самой большой за всю историю Pwn2Own. В общей сложности были использованы 16 0-day уязвимостей против Teams, Oracle VirtualBox, Firefox, Windows 11, Ubuntu и Safari.

За эксплоиты для Microsoft Teams хакеры получили больше всего денег – $150 000 было присуждено за каждую из трех цепочек эксплоитов. Масато Кинугава использовал комбинацию из трех эксплоитов, включающую инъекцию, неправильную конфигурацию и побег из песочницы. Гектор "p3rr0" Перальта продемонстрировал другой метод неправильной конфигурации, а команда STAR Labs показала эксплоит удаленного выполнения кода с нулевым кликом, который использовал инъекцию и уязвимость произвольной записи файла.

Еще одну солидную награду получил Манфред Пол – $100 000 за побег из песочницы Firefox с использованием уязвимостей загрязнения прототипа и неправильной проверки ввода. Еще исследователь заработал $50 000 за взлом Safari.

Все остальные эксплоиты принесли участникам по $40 000.

В четверг на Pwn2Own хакеры попробуют взломать Tesla Model 3. Успешный взлом автомобиля может принести участникам до $600 000 и новенькую Tesla.

В этом году соревнование проходит второй раз. Мы писали про Pwn2Own 2022 в Майями, там участники выявили 26 уязвимостей в АСУ ТП и SCADA.