ZDI de Trend Micro otorgó $ 1,081,250 por 61 días cero explotados en Pwn2Own Austin 2021, y los competidores volvieron a comprar con éxito el Samsung Galaxy S21 y piratearon una impresora HP LaserJet para reproducir Thunderstruck de AC / DC en el tercer día del concurso.
Los concursantes ganaron $ 70,000 durante el cuarto día, $ 238,750 el tercer día, $ 415,000 el segundo y $ 362,500 durante el primer día.
El equipo de Synacktiv ganó el concurso después de recibir $ 197,000 en efectivo por sus días cero y 20 puntos Master of Pwn, con una ventaja de seis puntos sobre el equipo DEVCORE, que terminó con 14 puntos y ganó un total de $ 140,000.
Durante los cuatro días de competencia, los concursantes pusieron en peligro impresoras, enrutadores, dispositivos NAS y parlantes de Canon, HP, Western Digital, Cisco, Sonos, TP-Link y NETGEAR después de explotar 61 fallas de seguridad previamente desconocidas conocidas como vulnerabilidades de día cero. .
El calendario completo de Pwn2Own Austin 2021 y los resultados después de cada desafío están disponibles aquí .
Sam Thomas ( @_s_n_t ) del equipo Pentest Limited ( @pentestltd ) fue quien comprometió el Samsung Galaxy S21 ejecutando las últimas actualizaciones de seguridad de Android 11 en el tercer día usando una cadena única de tres errores y ganando $ 50,000.
El Samsung Galaxy S21 escapó de un intento de piratería el primer día después de que Ken Gannon de F-Secure Labs no consiguiera que su exploit de día cero funcionara dentro del tiempo asignado.
Mr L y Nguyễn Hoàng Thạch ( @ hi_im_d4rkn3ss ) de STARLabs pudieron obtener la ejecución de código en el Samsung Galaxy S21 en el segundo día de Pwn2Own.
Sin embargo, a pesar de su éxito y ganar $ 25,000, su intento fue etiquetado como una «colisión» después de que se reveló que usaron un error conocido por el proveedor.
El tercer día de Pwn2Own también vio al equipo de F-Secure Labs convertir una impresora HP LaserJet en una máquina de discos usando un desbordamiento de búfer basado en pilas para reproducir Thunderstruck de AC / DC.
(Sonido encendido) ¡Confirmado! El equipo de @FSecureLabs utilizó un desbordamiento de búfer basado en pilas para hacerse cargo de una HP LaserJet y convertirla en una máquina de discos. Sus esfuerzos les hacen ganar $ 20,000 y 2 puntos Master of Pwn. # Pwn2Own https://t.co/3kqn5Cr7Y4
– Iniciativa Día Cero (@thezdi) 4 de noviembre de 2021
En esta edición de Pwn2Own, los competidores apuntaron a teléfonos móviles, impresoras, enrutadores, almacenamiento conectado a la red (NAS), parlantes inteligentes, televisores, almacenamiento externo y otros dispositivos, todos actualizados y con configuraciones predeterminadas.
El dispositivo NAS de 3TB My Cloud Home Personal Cloud de Western Digital fue la única excepción a esta regla, ya que ejecuta una versión de software beta.
La edición de este año del evento centrado en el consumidor de Pwn2Own Austin es la primera que se extiende a cuatro días después de que 22 concursantes diferentes se registraron para un total de 58 entradas.
Fuente: https://www.bleepingcomputer.com