기술 지원
문서
로그인
문의하기
테슬라, 마이크로소프트 팀즈 등 Pwn2Own 2023에서 해킹당한 기업들
2023년 4월 5일 TuxCare 홍보팀
Pwn2Own 밴쿠버 2023 둘째 날, 한 보안 연구원 그룹이 다양한 제품의 제로데이 취약점 10개를 익스플로잇하여 총 47만 5천 달러를 벌어들였습니다. 테슬라 모델 3, 마이크로소프트의 커뮤니케이션 플랫폼 Teams, Oracle 버추얼박스 가상화 플랫폼, Ubuntu 데스크톱 운영체제가 공격 대상에 포함되었습니다.
이날 가장 주목할 만한 성과 중 하나는 Tesla Model 3 인포테인먼트 언컨피니드 루트에 대한 익스플로잇을 성공적으로 실행한 Synacktiv의 데이비드 베라드(@p0ly)와 빈센트 드호르스(@vdehors)의 성과입니다. 이들은 힙 오버플로와 범위 밖 쓰기 등 일련의 제로데이 익스플로잇을 시연하여 25만 달러를 받았습니다.
이벤트 기간 동안 보안 연구원들은 다른 성공적인 해킹도 수행했습니다. 예를 들어, Synacktiv의 토마스 임버트(@masthoon)와 토마스 부제라(@MajorTomSec)는 Oracle 버추얼박스 호스트의 권한을 상승시키는 세 가지 버그를 연쇄적으로 악용하여 8만 달러의 상금을 받았습니다.
Synacktiv의 탕기 두브로카(@SidewayRE)는 잘못된 포인터 스케일링 제로데이를 시연하여 Ubuntu 데스크톱에서 권한 상승을 일으켜 3만 달러의 상금을 수상했습니다. 또한 팀 비엣텔(@vcslab)은 두 가지 버그를 연쇄적으로 사용하여 Microsoft Teams를 해킹하여 7만 8천 달러를 획득했으며, 사용 후 무료(UAF) 버그와 초기화되지 않은 변수를 사용하여 Oracle의 VirtualBox를 익스플로잇하여 4만 달러를 추가로 획득했습니다.
2위는 싱가포르의 스타 랩스(STAR Labs)가 차지했으며, 3위는 베트남의 팀 비엣텔(Team Viettel)이 차지했습니다. 4위와 5위는 각각 사우디아라비아의 하부브(Haboob)의 크리우스 시큐어(Qrious Secure)와 압둘-아지즈 하리리(Abdul-Aziz Hariri)가 차지했습니다. 압둘-아지즈 하리리는 15초 이내에 macOS에서 Adobe Reader를 성공적으로 익스플로잇하여 자신의 실력을 입증했습니다.
앞서 언급한 익스플로잇 외에도 대회 참가자들은 패치가 완전히 적용된 Windows 11 데스크톱을 해킹하는 데 성공했으며, Oracle의 가상박스 하이퍼바이저를 대상으로 호스트 권한 상승을 통한 연쇄 공격과 Ubuntu 데스크톱의 권한 상승을 시연했습니다.
대회 첫날, 한 해커 그룹이 테슬라 모델 3, 윈도우 11, 마이크로소프트 셰어포인트, Oracle 버추얼박스, 맥OS에서 12개의 제로데이 익스플로잇을 시연하여 테슬라 모델 3와 10만 달러의 상금을 획득했습니다. Tesla Model 3를 해킹한 그룹인 Synacktiv는 차량에 액세스하기 위해 사용 시간 확인 시간(TOCTOU) 익스플로잇을 사용했습니다. 해킹이 어떻게 실행되었는지에 대한 자세한 내용은 Tesla 소유자의 잠재적인 보안 위험을 방지하기 위해 공개되지 않았습니다.
주최 측에 따르면 올해 대회 대상은 테슬라가 선정되었습니다: "Tesla는 거의 혼자서 커넥티드 카 산업을 발명했습니다. 경쟁사와 사이버 범죄 커뮤니티보다 한 발 앞서 나가기 위해 필요한 것이 무엇인지, 즉 엄격한 테스트와 소프트웨어 버그에 대한 지속적인 조사가 무엇인지 누구보다 잘 알고 있습니다."
벤더는 트렌드마이크로의 제로 데이 이니셔티브가 기술 세부 정보를 공개하기 전에 90일 이내에 Pwn2Own 기간 동안 데모 및 공개된 제로 데이 취약점을 패치해야 합니다.
이 글의 출처는 BleepingComputer의 기사입니다.
