Le ZDI de Trend Micro a attribué 1 081 250 $ pour 61 zero-days exploité à Pwn2Own Austin 2021, avec des concurrents qui ont réussi à pwning à nouveau le Samsung Galaxy S21 et à pirater une imprimante HP LaserJet pour jouer à Thunderstruck d’AC/DC le troisième jour du concours.
Les participants ont gagné 70 000 $ le quatrième jour, 238 750 $ le troisième jour, 415 000 $ le deuxième et 362 500 $ le premier jour.
L’équipe Synacktiv a gagné le concours après avoir obtenu 197 000 $ en espèces pour leurs zero-days et 20 points Master of Pwn, avec une avance de six points sur l’équipe DEVCORE, qui a terminé avec 14 points et a remporté un total de 140 000 $.
Au cours des quatre jours de compétition, les concurrents ont compromis des imprimantes, des routeurs, des périphériques NAS et des haut-parleurs de Canon, HP, Western Digital, Cisco, Sonos, TP-Link et NETGEAR après avoir exploité 61 failles de sécurité inconnues auparavant connues sous le nom de vulnérabilités zero-day. .
Le calendrier complet de Pwn2Own Austin 2021 et les résultats après chaque défi sont disponibles ici.
Sam Thomas (@_s_n_t) de l’équipe Pentest Limited (@pentestltd) est celui qui a compromis le Samsung Galaxy S21 en exécutant les dernières mises à jour de sécurité Android 11 le troisième jour en utilisant une chaîne unique à trois bugs et en gagnant 50 000 $.
Le Samsung Galaxy S21 a échappé à une tentative de piratage le premier jour après que Ken Gannon de F-Secure Labs n’a pas réussi à faire fonctionner son exploit zero-day dans le temps imparti.
M. L et Nguyễn Hoàng Thạch (@hi_im_d4rkn3ss) de STARLabs ont pu obtenir l’exécution de code sur le Samsung Galaxy S21 le deuxième jour de Pwn2Own.
Cependant, malgré leur succès et le gain de 25 000 $, leur tentative a été qualifiée de « collision » après qu’il a été révélé qu’ils utilisaient un bug connu du vendeur.
Le troisième jour de Pwn2Own a également vu l’équipe F-Secure Labs transformer une imprimante HP LaserJet en juke-box en utilisant un débordement de tampon basé sur la pile pour jouer Thunderstruck d’AC/DC.
(Son activé) Confirmé ! L’équipe de @FSecureLabs a utilisé un débordement de tampon basé sur une pile pour prendre en charge une HP LaserJet et la transformer en juke-box. Leurs efforts leur rapportent 20 000 $ et 2 points Master of Pwn. #Pwn2Own https://t.co/3kqn5Cr7Y4
– Initiative Zero Day (@thezdi) 4 novembre 2021
Lors de cette édition de Pwn2Own, les concurrents ont ciblé les téléphones mobiles, imprimantes, routeurs, stockage en réseau (NAS), haut-parleurs intelligents, téléviseurs, stockage externe et autres appareils, tous à jour et exécutant des configurations par défaut.
Le périphérique NAS My Cloud Home Personal Cloud de 3 To de Western Digital était la seule exception à cette règle, car il exécute une version logicielle bêta.
L’édition de cette année de l’événement axé sur les consommateurs de Pwn2Own Austin est la première à être prolongée à quatre jours après que 22 concurrents différents se soient inscrits pour un total de 58 entrées.
Vous pouvez trouver des vidéos récapitulatives pour les quatre jours de Pwn2Own intégrées ci-dessous.
