Durante il primo giorno di Pwn2Own Vancouver 2024, i partecipanti hanno dimostrato vulnerabilità zero-day e catene di exploit su Windows 11, Tesla e Ubuntu Linux, guadagnando premi fino a $732,500 e un'auto Tesla Model 3.
La competizione è iniziata con l'exploit di Adobe Reader da parte di Haboob SA's Abdul Aziz Hariri, che ha combinato una violazione delle restrizioni API e un bug di iniezione di comandi per ottenere l'esecuzione di codice su macOS, guadagnando $50,000.
Synacktiv ha vinto una Tesla Model 3 e $200,000 dopo aver hackerato la centralina di Tesla con il controllo del BUS CAN del veicolo (VEH) in meno di 30 secondi utilizzando un overflow di interi.
I ricercatori di sicurezza di Theori, Gwangun Jung e Junoh Lee, hanno guadagnato $130,000 dopo essere usciti da una VM di VMware Workstation per poi ottenere l'esecuzione di codice come SYSTEM su Windows, utilizzando una catena che mirava a un bug di variabile non inizializzata, una debolezza UAF e un overflow del buffer basato sulla heap.
Bruno PUJOS e Corentin BAYET di Reverse Tactics hanno raccolto $90,000 sfruttando due bug di Oracle VirtualBox e un UAF di Windows per sfuggire dalla VM e elevare i privilegi a SYSTEM.
La giornata si è conclusa con Manfred Paul che ha hackerato i browser web Apple Safari, Google Chrome e Microsoft Edge, sfruttando tre vulnerabilità zero-day e vincendo $102,500.
Altri premi sono stati assegnati per violazioni della sicurezza di Windows 11 e Ubuntu Linux. Il totale dei premi messi in palio ammonta a circa 1,3 milioni di dollari. Tra le sfide ce n’è anche una dove l’obiettivo è prendere il totale controllo di una Tesla con FSD.