Η πρώτη ημέρα του Pwn2Own Berlin 2025 ολοκληρώθηκε, με ερευνητές ασφαλείας να αποσπούν συνολικά 260.000 δολάρια σε χρηματικά έπαθλα, παρουσιάζοντας άγνωστα μέχρι πρότινος κενά ασφαλείας (zero-days) σε λειτουργικά συστήματα και λογισμικά όπως τα Windows 11, Red Hat Linux και Oracle VirtualBox.
Red Hat Linux: Πρώτος στόχος των “επιθέσεων“
Το Red Hat Enterprise Linux for Workstations ήταν το πρώτο λειτουργικό που στόχευσαν οι ερευνητές. Η ομάδα DEVCORE, μέσω του ερευνητή με το ψευδώνυμο Pumpkin, αξιοποίησε μια ευπάθεια integer overflow, κερδίζοντας 20.000 δολάρια.
Δείτε επίσης: Νέα ευπάθεια του Chrome επιτρέπει διαρροή δεδομένων
Παράλληλα, οι Hyunwoo Kim και Wongi Lee πέτυχαν επίσης root πρόσβαση σε Red Hat Linux, αξιοποιώντας έναν συνδυασμό ευπαθειών use-after-free και διαρροής πληροφοριών. Ωστόσο, ένα από τα exploits βασιζόταν σε ήδη γνωστή ευπάθεια (N-day), γεγονός που οδήγησε σε ακύρωση της προσπάθειας λόγω επικάλυψης σφαλμάτων.
Pwn2Own Berlin 2025 – Windows 11: Τρεις επιτυχημένες παραβιάσεις
Ο Chen Le Qi της STARLabs SG κέρδισε 30.000 δολάρια αφού απέκτησε πρόσβαση SYSTEM στα Windows 11 μέσω μιας σύνθετης αλυσίδας με use-after-free και integer overflow ευπάθειες.
Τα Windows 11 “έπεσαν” άλλες δύο φορές:
- Ο Marcin Wiązowski εκμεταλλεύτηκε μια out-of-bounds write ευπάθεια,
- Ενώ ο Hyeonjin Choi παρουσίασε ένα type confusion zero-day.
Oracle VirtualBox
Η ομάδα Team Prison Break έλαβε 40.000 δολάρια επιδεικνύοντας επιτυχημένη διαφυγή από Oracle VirtualBox και εκτέλεση κώδικα μέσω μιας ακόμη integer overflow ευπάθειας.
Σημαντικά ποσά δόθηκαν και για άλλα exploits:
- Ο Sina Kheirkhah του Summoning Team εξασφάλισε 35.000 δολάρια για ένα zero-day στον Chrome και μια ήδη γνωστή ευπάθεια στον Nvidia Triton Inference Server.
- Οι Billy και Ramdhan της STARLabs SG επιβραβεύτηκαν με 60.000 δολάρια για το επιτυχές escape από το Docker Desktop και την εκτέλεση κώδικα, χρησιμοποιώντας επίσης use-after-free zero-day.
Δείτε επίσης: Επιδιορθώθηκαν ευπάθειες σε Juniper, VMware και Zoom
Η πρώτη ημέρα του Pwn2Own 2025 επιβεβαιώνει ότι ακόμη και οι πιο ώριμες πλατφόρμες λογισμικού παραμένουν ευάλωτες. Οι 0-day αλυσίδες που παρουσιάστηκαν επιβεβαιώνουν την ανάγκη για συνεχή αξιολόγηση της ασφάλειας ακόμη και σε συστήματα αιχμής.
Pwn2Own Berlin 2025
Το Pwn2Own Berlin 2025, ένας από τους σημαντικότερους διαγωνισμούς ethical hacking παγκοσμίως, επέστρεψε δυναμικά από τις 15 έως τις 17 Μαΐου στο Βερολίνο, στο πλαίσιο του OffensiveCon. Φέτος, η διοργάνωση εστιάζει στις τεχνολογίες επιχειρήσεων, ενώ για πρώτη φορά προσθέτει μια ειδική κατηγορία τεχνητής νοημοσύνης (AI).
Κατά τη δεύτερη ημέρα του event, οι συμμετέχοντες επιχειρούν να εκμεταλλευτούν άγνωστες (zero-day) ευπάθειες σε δημοφιλείς πλατφόρμες και εργαλεία, όπως:
- Microsoft SharePoint
- VMware ESXi
- Mozilla Firefox
- Red Hat Enterprise Linux
- Oracle VirtualBox
Μετά την αποκάλυψη των ευπαθειών, οι κατασκευαστές λογισμικού έχουν στη διάθεσή τους 90 ημέρες για να διορθώσουν τα κενά ασφαλείας πριν δημοσιοποιηθούν πλήρως.
Η αντίδραση της κοινότητας των hackers και του κοινού είναι πάντα ενθουσιώδης σε αυτούς τους διαγωνισμούς. Όλοι αναγνωρίζουν τη σημασία του διαγωνισμού στην προώθηση της ασφάλειας προϊόντων και συστημάτων.
Δείτε επίσης: Ευπάθεια του Microsoft Defender επιτρέπει αύξηση προνομίων
Ταυτόχρονα, τέτοιοι διαγωνισμοί δίνουν την ευκαιρία στους ίδιους τους hackers να μαθαίνουν και να εμπνέονται από τις τεχνικές και τις στρατηγικές που χρησιμοποιούν άλλοι συνάδελφοί τους.
Η εκδήλωση Pwn2Own Berlin 2025 ενισχύει την κοινότητα των ethical hackers, προσφέροντας μια πλατφόρμα για διάλογο, ανταλλαγή ιδεών και συνεργασία.
Πηγή: www.bleepingcomputer.com
