一年一度的 Pwn2Own 黑客大會正在溫哥華舉辦,通過讓參賽者與網絡安全專家們匯聚一堂,他們可以充分展示相關零日漏洞利用和其它軟件破解大法,並獲得相應的獎勵和技術認可。而在 Pwn2Own 2022 的首日戰報中,可知微軟 Windows 11 操作系統和 Teams 團隊協作服務已被白帽參賽者們在首日雙雙攻破。
Pwn2Own 2022 也是該系列黑客大會的第 15 周年(圖自:ZDI 官網)
不過次日,Pwn2Own 參賽團隊還是遇到了一些變化。在針對 Windows 11 的兩次攻擊嘗試中,僅一次演示順利達成(成功率 50%)。
美國西北大學 TUTELARY 團隊的 Yueqi Chen,ZDI 分析師 Tony Fuller 和 Bobby Gould 。
利用不恰當的配置,該團隊得以訪問 Windows 11 並實現特權提升(EoP),並拿到 40000 美元獎金 + 4 點 Pwn 大師積分。
Viettel Cyber Security 團隊利用了 Windows 11 上的整數溢出 EOP 漏洞
遺憾的是,一同參賽的 namnp 未能在規定時間內完成演示。至於詳細的漏洞利用報告,各方尚未披露。
最後,REverse Tactics 團隊的 Bruno PUJOS 利用了 Windows 11 上的“用后釋放”(Use-After-Free)漏洞實現了特權提升。
感興趣的朋友,還請關注官方的後續戰報。