Windows 11がハッキング大会中に6回もハッキングされる、テスラやUbuntuも餌食に
2022年5月18日から5月20日まで開催されたハッキングコンテストの「Pwn2Own 2022」で、Windows 11やUbuntu、テスラ車のシステムのセキュリティが次々と破られ、未発見だった脆弱(ぜいじゃく)が次々と明るみにされたと報じられています。
Zero Day Initiative - Pwn2Own Vancouver 2022 - The Results
https://www.zerodayinitiative.com/blog/2022/5/18/pwn2own-vancouver-2022-the-results
https://www.bleepingcomputer.com/news/security/windows-11-hacked-three-more-times-on-last-day-of-pwn2own-contest/
「Pwn2Own」とは、トレンドマイクロが運営する脆弱性発見コミュニティ・Zero Day Initiative主催のカンファレンスで、参加者らは賞金の獲得を目指してブラウザ・サーバー・OSの特権昇格・自動車などさまざまなカテゴリの脆弱性の特定にチャレンジします。カナダのバンクーバーの会場とオンラインで開催された今回のPwn2Own Vancouver 2022では、17の参加チームが合計115万5000ドル(約1億4700万円)の賞金を獲得しました。
We've wrapped #Pwn2Own Vancouver 2022 - the 15th anniversary of the contest. We awarded $1,155,000 for 25 unique 0-days. Join @MaliciousInput and @dustin_childs as they recap the event. https://t.co/UIMiz3xVZ7— Zero Day Initiative (@thezdi) May 20, 2022
3日間のコンテストのうち初日には、2つの参加チームがWindows 11をターゲットにしたハッキングに成功しました。見つかったバグの1つ目は、Marcin Wiązowski氏が見つけたWindows 11で範囲外書き込みが可能な特権の昇格の不具合で、2つ目はシンガポールのセキュリティ企業・STAR LabsのPhan Thanh Duy氏とLê Hữu Quang Linh氏が見つけたUse-After-Free攻撃につながる特権の昇格です。さらに2日目には、T0氏という参加者が特権の昇格につながる不適切なアクセス制御のバグを特定しました。
そして3日目にはvinhthp1712氏、ベトナムのセキュリティ企業・Viettel Cyber Securityのnghiadt12氏、フランスのセキュリティ企業・REverse TacticsのBruno PUJOS氏ら3人が、やはりWindows 11での特権昇格に成功。Windows 11は、3日間の期間中に6回も不具合を発見されてしまいました。また、Windows 11とともに特権昇格でお題となったデスクトップ向けUbuntuも、3日間で4回脆弱性を特定されています。
さらに自動車部門では、2日目に「ニンジャ道場」を自称するフランスのキュリティ企業・SynacktivからエントリーしたDavid BERARD氏とVincent DEHORS氏が、テスラのModel 3で2つのバグを発見。過去の大会で賞品となっていたModel 3の実車はプレゼントされませんでしたが、Model 3が余裕で買える7万5000ドル(約955万円)の賞金を手にしました。
最終的な結果は以下の通り。優勝者はWindows11の不具合だけでなく、一般製品部門でMicrosoft Teamsのバグなどを複数特定して合計27万ドル(約3440万円)の賞金を獲得したSTAR Labsでした。賞金15万ドル(約1900万円)が授与された2〜4位には、Microsoft Teamsで重要な不具合を見つけた「p3rr0」ことHector Peralta氏、Microsoft Teamsでバグを3つ見つけた日本人のキヌガワマサト氏、ブラウザ部門でMozilla FirefoxやApple Safariの不具合を見つけたManfred Paul氏が並んでランクイン。5位には前述のSynacktivが食い込むという結果となりました。