Vía Slashdot, Hot Hardware informa que a medida que el evento de seguridad Pwn2Own Vancouver 2022 llega a su fin, Trend Micro y Zero Day Initiative han otorgado 1 millón 115 mil dólares. En la edición del 15.º aniversario, 17 concursantes atacaron a 21 objetivos, aunque «los mayores pagos fueron por vulnerabilidades graves contra la aplicación Teams de Microsoft».

Si bien Teams es técnicamente una aplicación aparte de Windows, viene incluido con todas las nuevas instalaciones de Windows 11, lo que significa que estos exploits son prácticamente exploits de Windows. Héctor «p3rr0» Peralta, Masato Kinugawa y STAR Labs ganaron cada uno 150 mil dólares por las principales hazañas en contra de Teams.

Windows 11 fue un objetivo importante. El día uno, Marcin Wiazowski y STAR Labs ganaron cada uno 40 mil dólares por ataques de escalada de privilegios en Windows; el día dos, TO encontró un error similar y consiguió un premio de 40 mil dólares. El tercer día vio al menos de tres nuevos exploits específicos para Windows 11, todos en la categoría de escalada de privilegios graves; los tres ganadores se embolsaron otros 40 mil dólares cada uno.

Otros objetivos atacados en Pwn2Own 2022 incluyeron Mozilla Firefox, Apple Safari y Ubuntu Desktop. Por supuesto, los detalles de los ataques se mantienen privados porque son del tipo día cero. Eso significa que aún falta aplicar los parches a las versiones de producción, por lo que la publicación de estos detalles acerca las vulnerabilidades podría permitir que los actores maliciosos aprovechen los errores descubiertos. Los detalles se revelarán dentro de 3 meses, tiempo durante el cual Microsoft, Tesla, Apple y otros deberían tener todo su software corregido.

Con todos los puntos sumados, el ganador fue la empresa de ciber-seguridad Star Labs, con sede en Singapur, que fue coronada oficialmente como «Maestro de Pwn» el sábado. Obtuvieron 270 mil dólares y 27 puntos durante el concurso.

Una publicación de blog de Zero Day Initiative describe los 21 ataques, incluidos seis ataques exitosos contra Windows, tres ataques exitosos contra Teams y cuatro contra Ubuntu Desktop.

Para los curiosos, se descubrieron en Ubuntu Desktop las siguientes vulnerabilidades: una escritura fuera de los límites (OOBW) y tres Use-After-Free (UAF) que conducen a la elevación de privilegios.

Fuentes: Hot Hardware vía Slashdot.