De eerste dag van Pwn2Own Vancouver is achter de rug. Deelnemers van de wedstrijd wonnen gezamenlijk 800.000 dollar voor het hacken van veelgebruikte software, waaronder Microsoft Teams, Oracle VirtualBox en Ubuntu Desktop.
Pwn2Own vindt elk jaar plaats. Zero Day Initiative organiseert de hackwedstrijd om securityonderzoek te promoten en belonen. Voorafgaand aan de wedstrijd publiceert Zero Day Initiative een lijst met populaire software. Iedereen is welkom om een poging te wagen in het hacken van de software. Vind je een onontdekte kwetsbaarheid, dan kan je je inschrijven voor de live wedstrijd. Lukt het je vervolgens om de kwetsbaarheid in enkele minuten op een podium te demonstreren, dan ontvang je tien- tot honderdduizenden euro’s aan prijsgeld.
De Vancouver-editie van Pwn2Own vindt momenteel plaats. De eerste dag leverde meer dan 10 kwetsbaarheden in veelgebruikte software op.
Winnaars
Hector Peralta (alias p3rr0) won 150.000 dollar voor het demonstreren van een improper configuration in Microsoft Teams. Een improper configuration kan van alles betekenen, maar de details van gevonden kwetsbaarheden worden niet gedeeld totdat de kwetsbaarheid is gepatcht.
Drie onderzoekers lieten namens securitybedrijf STAR Labs zien hoe Oracle VirtualBox misbruikt kan worden voor privilege escalation. Het team won 40.000 dollar. Privilege escalation biedt toegang tot systemen en bestanden die eigenlijk voor een hogere gebruikersrol zijn bedoeld, bijvoorbeeld een administrator.
Het team van securitybedrijf Sea Security demonstreerde een Out-of-Bounds Write (OOBW) en Use-After-Free (UAF) in Ubuntu Desktop. Zowel OOBW en UAF maken het mogelijk om systemen te hacken, data te corrupten en apps te crashen. Ook dit team werd beloond met 40.000 dollar.
De druk
Andere deelnemers vonden kwetsbaarheden in Firefox, Windows 11 en Safari. In totaal betaalde Zero Day Initiative 800.000 dollar uit. In de komende dagen vinden er meer dan 10 andere demonstraties plaats. Dit garandeert niet dat er 10 prijzen worden uitbetaald. Deelnemers slagen niet altijd in het demonstreren van de kwetsbaarheid. De druk loopt op wanneer er tienduizenden dollars op het spel staan.
In april 2022 vond de Miami-editie van Pwn2Own plaats. Nederlanders Thijs Alkemade en Daan Keuper wonnen een prijs van 90.000 dollar voor het vinden van kwetsbaarheden in Iconics, Inductive Automation en Aveva. Hetzelfde duo ging er in 2021 met 200.000 dollar vandoor na het vinden van meerdere kwetsbaarheden in Zoom.