Aggiornamenti recenti Maggio 19th, 2025 4:02 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
- CERT-AGID 10-16 maggio: l’Agenzia delle Entrate ancora nel mirino
- Trovati dispositivi non autorizzati negli inverter solari cinesi
- Europa sotto attacco: aumentano le attività DDoS e dei gruppi hacktivisti
- Impennata degli attacchi automatizzati: i cybercriminali sfruttano l’IA
Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
Dopo tre giorni di intenso hacking si è conclusa Pwn2Own, la competizione della Zero Day Initiative che in questa edizione si è tenuta a Berlino durante la conferenza OffensiveCon. Anche in questa occasione sono state tante le vulnerabilità sfruttate e i premi vinti, ma con un’importante novità: per la prima volta è stata inclusa la categoria “Intelligenza artificiale“.
L’evento ha premiato team e singoli hacker per un totale di oltre un milione di dollari. A portarsi a casa il titolo di “Master of Pwn” è stato il team STAR Labs SG dell’omonima compagnia di servizi di cybersecurity con base a Singapore.
Giorno 1: il primo vincitore della categoria IA
La prima giornata della competizione ha visto la vittoria STAR Labs SG sugli altri partecipanti. Con un totale di 8 punti ha distaccato notevolmente gli altri hacker, portandosi a casa 90.000 dollari di premio.
Il principale successo del team è arrivato sfruttando una vulnerabilità user-after-free che gli ha permesso di effettuare un escape da Docker Desktop ed eseguire codice sul sistema operativo sottostante.
Durante la prima giornata è stato anche proclamato il primo vincitore della nuova categoria “intelligenza artificiale”: Sina Kheirkhah di Summoning Team è riuscito a individuare e sfruttare una vulnerabilità di Chroma, un database vettoriale open-source per applicazioni che usano LLM.
Windows 11 è stato protagonista di due exploit: Marcin Wiązowski è riuscito a sfruttare una vulnerabilità di Out-of-Bound Write per elevare i privilegi utente a SYSTEM, mentre Chen Le Qi di STAR Labs SG ha sfruttato un bug user-after-free e un integer overflow sempre per elevare i privilegi a livello SYSTEM.
Il Team Prison Break ha invece utilizzato un bug di integer overflow per effettuare l’escape da Oracle VirtualBox ed eseguire codice sul sistema operativo, ottenendo 4 punti.
Giorno 2 del Pwn2Own: il totale dei premi sale vertiginosamente
Il secondo giorno del Pwn2Own ha visto innalzarsi la vincita totale a ben 695.000 dollari. La giornata è stata particolarmente proficua per gli hacker, a cominciare da Dinh Ho Anh Khoa di Viettel Cyber Security che ha combinato un bug di authentication bypass e una deserializzazione non sicura per effettuare un exploit su Microsoft SharePoint. Un successo che gli ha fatto guadagnare 10 punti.
Il team STAR Labs SG ha brillato un’altra volta per aver usato una vulnerabilità di integer overflow per sfruttare VMware ESXi per la prima volta nella storia della competizione. Il risultato ha fatto guadagnare 15 punti al team. La squadra ha inoltre sfruttato un bug di user-after-free per elevare i privilegi utente su Enterprise Linux.
Per quanto riguarda la categoria “intelligenza artificiale”, il vincitore della giornata è stato il team di Wiz Research che ha sfruttato un bug di user-after-free per eseguire un exploit su Redis.
Altri risultati degni di nota sono quelli di Edouard Bochin e Tao Yan di Palo Alto Networks che hanno usato un bug di Out-of-Bounds Write per effettuare un exploit su Firefox, di Ho Xuan Ninh e Tri Dang di Qrious Secure che hanno eseguito una catena di quattro bug contro Triton di NVIDIA e di di Viettel Cyber Security che ha usato una Out-of-Bounds Write per un escape Guest-to-Host su VirtualBox di Oracle.
La terza giornata supera il milione di dollari
Visto il risultato del penultimo giorno, non è stato difficile chiudere il Pwn2Own superando il milione di dollari in premi elargiti. La classifica finale ha visto in vetta il team STAR Labs SG, seguito da Viettel Cyber Security, REverse Tactics, Synacktiv e Wiz Research.
Manfred Paul, incoronato Master of Pwn nella precedente edizione, ha utilizzato un bug di integer overflow per eseguire un exploit su Firefox, mentre due membri del team di Wiz Research hanno usato un bug di External Initialization of Trusted Variables per compromettere Container Toolkit di NVIDIA.
Per quanto riguarda il team di STAR Labs, gli hacker hanno usato una race condition TOCTOU (Time-of-check to time-of-use) per effettuare l’escaping da una VM Windows e un bug di Improper Validation of Array Index per l’elevazione dei privilegi.
Corentin BAYET di Reverse Tactics ha usato due bug per un exploit su ESXi, ma uno di essi era già stato individuato da un altro ricercatore, quindi è riuscito a guadagnarsi il premio e i punti solo per uno di essi.
Ottimo risultato anche per il team di Synacktiv che grazie a un bug di buffer overflow heap-bases è riuscito a eseguire un exploit di VMware Workstation e ha guadagnato 8 punti. L’ultimo vincitore della giornata è stato Miloš Ivanović che ha usato un bug di race condition per elevare i privilegi utente a SYSTEM su Windows 11.
In totale, l’evento ha portato alla scoperta di 28 vulnerabilità 0-day, delle quali 7 fanno parte della categoria relativa all’intelligenza artificiale.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa Pwn2Own,... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi... -
Impennata degli attacchi automatizzati: i cybercriminali... Sono sempre di più gli attacchi automatizzati che... -
Settore sanitario, gli operatori caricano dati sensibili in... Stando all’ultimo report sulle minacce al settore... -
Le difese migliorano, ma i ransomware continuano a colpire... Le minacce informatiche continuano a evolversi e, anche se...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa...
-
CERT-AGID 10-16 maggio: l’Agenzia delle Entrate... Nel corso della settimana, il CERT-AGID ha identificato e... -
Trovati dispositivi non autorizzati negli inverter solari... Una nuova minaccia si abbatte sugli Stati Uniti: secondo... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi...
-
Impennata degli attacchi automatizzati: i cybercriminali... Sono sempre di più gli attacchi automatizzati che...
Ransomware: la serie
No posts found.
