Peretas topi putih telah berhasil mengkompromikan Windows 11 tiga kali dalam satu hari selama kontes peretasan yang baru-baru ini diadakan, menimbulkan pertanyaan tentang keamanan perangkat lunak.
Hari ketiga dan terakhir dari kontes peretasan Pwn2Own Vancouver 2022 melihat tiga peserta terpisah menggunakan kerentanan zero-day untuk membuka sistem operasi terbaru Microsoft.
Kontestan pertama adalah nghiadt12 dari Viettel Cyber Security, yang menyalahgunakan eskalasi eksploitasi hak istimewa Windows 11, melalui Integer Overflow. Yang kedua dan ketiga adalah Bruno Pujos dan vnhthp1712 dari Reverse Tactics, yang menggunakan kerentanan Use-After-Free dan Improper Access Control untuk meningkatkan hak istimewa pada titik akhir target (terbuka di tab baru).
Meretas mobil
Selain tiga upaya yang berhasil, ada juga upaya yang gagal oleh Tim DoubleDragon, yang gagal mendemonstrasikan eksploit tersebut dalam tenggat waktu.
Desktop Ubuntu juga berhasil diretas sekali, oleh Billy Jheng Bing-Jhong dari STAR Labs ditambahkan. Eksploitasi Use-After-Free juga digunakan dalam serangan ini.
Selama seluruh Pwn2Own 2022, total 17 pesaing meretas Windows 11 beberapa kali, tetapi juga Ubuntu Desktop, Apple Safari, Oracle Virtualbox, dan Mozilla Firefox.
Sejak 2019, kompetisi telah menambahkan kategori baru – sistem infotainment otomotif. Tahun ini, sistem seperti itu di mobil Tesla 3 diretas. Menurut media, grup bernama Sznactiv mendemonstrasikan eksploit sandbox escape di sistem infotainmen, yang memungkinkan penyerang mengambil kendali atas perangkat komputasi bawaan.
Grup tersebut mendapatkan $75.000 untuk bug tersebut, tetapi mengatakan bahwa bug tersebut juga dapat digunakan untuk meluncurkan serangan tahap dua dengan malware. (terbuka di tab baru) itu bisa jauh lebih merusak, dan bahkan memungkinkan pengambilalihan perangkat secara penuh. Meretas Tesla Model 3 sepenuhnya menghasilkan peserta $600.000 dan mobil itu sendiri, Kurritu.org (terbuka di tab baru) dilaporkan.
Lebih dari satu juta dolar dibayarkan sebagai imbalan atas peretasan yang berhasil, dengan vendor sekarang memiliki waktu 90 hari untuk memperbaiki masalah tersebut. Jika mereka gagal memenuhi tenggat waktu, Zero Day Initiative dari Trend Micro akan mengungkapkan kekurangannya secara terbuka.
Melalui: BleepingComputer (terbuka di tab baru)