Pwn2Own Berlin 2025の2日目、Microsoft SharePoint、VMware ESXi、Oracle VirtualBox、Red Hat Enterprise Linux、Mozilla Firefoxを含む複数の製品のゼロデイバグを悪用し、競技者は435,000ドルを獲得した。
ハイライトは、STARLabs SGのNguyen Hoang Thach氏がVMware ESXiに対して成功させた試みで、整数オーバーフローを悪用して15万ドルを獲得した。
Viettel Cyber SecurityのDinh Ho Anh Khoaは、認証バイパスと安全でないデシリアライズの欠陥を組み合わせたエクスプロイトチェーンを活用してMicrosoft SharePointをハッキングし、10万ドルを獲得した。
また、STAR Labs SG の Gerrard Tai 氏は、use-after-free バグを使用して Red Hat Enterprise Linux の root 権限を昇格させ、Viettel Cyber Security は、Oracle VirtualBox のゲストからホストへのエスケープに別の境界外書き込みを使用しました。
AI部門では、Wiz Researchのセキュリティ研究者がuse-after-freeゼロデイを使ってRedisを悪用し、Qrious Secureが4つのセキュリティ欠陥を連鎖させてNvidiaのTriton Inference Serverをハッキングした。
初日には、Windows 11、Red Hat Linux、Oracle VirtualBoxのゼロデイ脆弱性の悪用に成功した競技者に$260,000が授与され、20のユニークなゼロデイを実証した後、コンテストの最初の2日間で合計$695,000を獲得しました。
Pwn2Own Berlin 2025ハッキングコンテストは、エンタープライズ技術に焦点を当て、初めてAI部門を導入し、5月15日から5月17日の間にOffensiveConカンファレンスで開催されます。
セキュリティ研究者は、AI、ウェブブラウザ、仮想化、ローカル特権の昇格、サーバー、エンタープライズアプリケーション、クラウドネイティブ/コンテナ、自動車部門において、完全にパッチが適用された製品のゼロデイバグを実証することで、100万ドル以上の報酬を得ることができる。
しかし、Pwn2Ownが始まる前に、2台の2025年テスラ・モデルYと2024年テスラ・モデル3のベンチトップ・ユニットがターゲットとして用意されていたにもかかわらず、テスラの試みは登録されていなかった。
コンテストの最終日には、ハッカーたちはWindows 11、Oracle VirtualBox、VMware ESXi、VMware Workstation、Mozilla Firefox、NvidiaのTriton Inference ServerとContainer Toolkitのゼロデイ・バグを悪用しようとする。
Pwn2Ownコンテストでゼロデイ脆弱性が公開された後、トレンドマイクロのゼロデイ・イニシアティブが技術的な詳細を公表する前に、ベンダーは90日以内にソフトウェアおよびハードウェア製品のセキュリティ修正プログラムをリリースする必要があります。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%の背後にあるトップ10のMITRE ATT&CKテクニックとその防御方法をご覧ください。
Comments