Il Pwn2Own 2022 forse non sarà proprio un bel ricordo per Microsoft, dato che sia Windows 11 che Microsoft Teams sono stati violati già durante il primo giorno della manifestazione. Certo, in questo caso, l'azienda ha l'opportunità, anzi l'obbligo, di intervenire sulle vulnerabilità riscontrate entro 90 giorni, tuttavia, considerando anche quanto il Colosso di Redmond avesse puntato sul concetto di sicurezza per Windows 11, senza dimenticare i requisiti hardware più stringenti (vedi TPM 2.0), non deve essere proprio un momento troppo simpatico in casa Microsoft.
E sicuramente non aiuta il fatto che, in occasione dell'ultima giornata del Pwn2Own 2022, che ricordiamo essere una competizione tra hacker in cui i partecipanti vengono premiati in base alle vulnerabilità scoperte e sfruttate in una vasta gamma di prodotti e servizi software e hardware, Windows 11 è stato violato altre tre volte. Sì perché alcuni ricercatori di sicurezza sono riusciti a sfruttare degli exploit zero-day, dopo un tentativo fallito da parte del Team DoubleDragon che non è riuscito a dimostrare l'exploit entro il tempo assegnati.
We closed the 15th edition of #Pwn2Own by demonstrating a LPE vulnerability in the Windows kernel! The vulnerability existed for almost 10 years!
— REverse_Tactics (@Reverse_Tactics) May 21, 2022
Thank you @thezdi for an amazing contest and stay tuned for technical details once Microsoft has patched! #P2O15 https://t.co/UIkJrgEWbm
Gli altri partecipanti, però, sono riusciti a portarsi a casa ben 160 mila dollari, tra le tre violazioni del nuovo sistema operativo Microsoft e di Ubuntu Desktop. Dunque, la terza e ultima giornata del Pwn2Own 2022 ha visto nghiadt12 di Viettel Cyber Security sfruttare un Integer Overflow (zero-day) per effettuare l'escalation dei privilegi, Bruno Bujos di REverse Tactics e vinhthp1712 violare il sistema tramite, rispettivamente, vulnerabilità Use-After-Free e Improper Access Control.
Infine, Billy Jheng Bing-Jhong di STAR Labs è riuscito a violare un sistema Ubuntu Desktop con un exploit Use-After-Free.
In totale, durante la manifestazione di Vancouver, 17 concorrenti si sono aggiudicati premi per oltre 1,15 milioni di dollari, per aver dimostrato exploit e catene di exploit zero-day nel corso delle tre giornate, con 21 tentativi in totale, fra il 18 e il 20 maggio.
Manifestazioni come queste, seppur possano mettere in mostra vulnerabilità anche gravi di sistemi operativi e altri tipi di software e hardware, risultano molto utili per le aziende partecipanti, dato che sono vincolate a risolverle entro 90 giorni, pena la divulgazione pubblicata da parte della Zero Day Initiative di Trend Micro.