La manifestazione Pwn2Own è una competizione annuale tra hacker che si svolge da 15 anni in Canada, in cui i partecipanti vengono sfidati a trovare vulnerabilità e dimostrare exploit per diversi prodotti tecnologici e software, dai sistemi operativi ai browser web. Il tutto si svolge come un vero e proprio torneo, con classifica, punti e premi in denaro o beni, ed è un'ottima occasione in cui le aziende possono riscontrare e correggere le falle nei propri software e hardware (da regolamento, hanno 90 giorni per patchare).
Nel corso degli anni, nessuna azienda è uscita "indenne" dalla competizione, con un solo record positivo ottenuto da Google Chrome, infatti il browser si è distinto nel 2014, con una sola falla di sicurezza riscontrata. E l'edizione 2022 è cominciata da qualche giorno, ma già in occasione della giornata inaugurale del Pwn2Own 2022, Microsoft deve aver vissuto un momento non particolarmente piacevole, dato che sia Windows 11 che Microsoft Teams sono stati violati, fruttando ai concorrenti un cifra non indifferente che, nel corso dell'intera prima giornata ha raggiunto quota 800 mila dollari.
Day One of #Pwn2Own Vancouver 2022 comes to a close with record breaking numbers. $800,000 awarded for 16 0-days - our biggest 1 day total in contest history! No bug collisions. No failed attempts. No kidding. https://t.co/8CQPLUTMJA
— Trend Zero Day Initiative (@thezdi) May 19, 2022
A cedere per primo è stato Microsoft Teams, il pacchetto di comunicazione e collaborazione integrate dell'azienda: Hector Peralta, uno dei partecipanti alla manifestazione, è riuscito a sfruttare una falla provocata da una configurazione errata. Poi, il team STAR Labs ha dimostrato una catena di exploit zero-click composta da 2 bug che consentiva di effettuare operazioni di injection e scritture di file arbitrarie.
Non finisce qui per Teams, infatti una terza violazione è stata effettuata da Masato Kinugawa che, sfruttando tre bug, ha potuto eseguire injection, manipolare la configurazione ed effettuare un'operazione di sandbox escape. I tre concorrenti sono stati premiati con 15o mila dollari ciascuno per aver dimostrato con successo queste zero-day di Microsoft Teams.
STAR Labs, poi, è riuscito a elevare i privilegi su un sistema Windows 11 tramite una vulnerabilità di tipo Use-After-Free ed effettuare l'escalation dei privilegi su Oracle Virtualbox, andando a guadagnare altri 80 mila dollari. Nel corso della manifestazione, sono stati trovati altri bug di sicurezza su Mozilla Firefox, Safari di Apple e Ubuntu Desktop.
Nella seconda giornata della manifestazione, invece, i concorrenti dovranno tentare di sfruttare zero-day nel sistema Infotainment della Tesla Model 3, fra gli altri target. E pare che, oltre ai premi in denaro, potrebbe essere possibile vincere proprio una delle auto a guida autonoma dell'azienda di Elon Musk, come accaduto già nell'edizione del 2019.