Onderzoekers demonstreren zerodays in Microsoft SharePoint en Tesla Model 3

[Captain Kirk]

Onderzoekers hebben tijdens de jaarlijks Pwn2Own-wedstrijd verschillende zerodaylekken in Microsoft SharePoint en een Tesla Model 3 gedemonstreerd. Ook macOS, Adobe Reader, Oracle VirtualBox, Ubuntu Desktop en Windows 11 moesten eraan geloven. Details over de getoonde kwetsbaarheden zijn nog niet openbaar. De betreffende leveranciers zijn ingelicht zodat ze beveiligingsupdates kunnen ontwikkelen.

Pwn2Own is een jaarlijks terugkerende wedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden in veelgebruikte software. Dit jaar zijn er weer verschillende categorieën, namelijk virtualisatiesoftware, webbrowsers, zakelijke applicaties (Adobe Reader en Office 365), serversoftware, zakelijke communicatiesoftware (Zoom en Teams) en de Tesla Model 3 en Model S.

De hoogste beloning is weggelegd voor onderzoekers die de Tesla op afstand weten te compromitteren. Het gaat dan om een aanval die begint via bluetooth, wifi, tuner of modem en via het infotainmentsysteem de autopiloot of VCSEC (Vehicle Controller Secondary) gateway kan compromitteren. Onderzoekers van Synacktiv wisten de gateway van de Tesla via ethernet te compromitteren, wat hen een beloning van 100.000 dollar en de Tesla opleverde. Voor het op afstand compromitteren van de gehele Tesla is een beloning van 600.000 dollar uitgeloofd.

Onderzoekers van STAR Labs verdienden ook 100.000 dollar, alleen dan met een aanval op Microsoft SharePoint. Via de getoonde exploit is remote code execution mogelijk en kan een aanvaller kwetsbare SharePoint-servers op afstand overnemen. Vandaag vindt de tweede dag van het evenement plaats, waarbij wederom wordt geprobeerd een subsysteem van een Tesla te compromitteren. Vrijdag is de laatste dag van Pwn2Own.

 

bron: https://www.security.nl