一年一度的 Pwn2Own 黑客大会正在温哥华举办,通过让参赛者与网络安全专家们汇聚一堂,他们可以充分展示相关零日漏洞利用和其它软件破解大法,并获得相应的奖励和技术认可。而在 Pwn2Own 2022 的首日战报中,可知微软 Windows 11 操作系统和 Teams 团队协作服务已被白帽参赛者们在首日双双攻破。

Pwn2Own 2022第二日战报:参赛者成功演示Windows 11特权提升漏洞

Pwn2Own 2022 也是该系列黑客大会的第 15 周年(图自:ZDI 官网

不过次日,Pwn2Own 参赛团队还是遇到了一些变化。在针对 Windows 11 的两次攻击尝试中,仅一次演示顺利达成(成功率 50%)。

Pwn2Own 2022第二日战报:参赛者成功演示Windows 11特权提升漏洞

美国西北大学 TUTELARY 团队的 Yueqi Chen,ZDI 分析师 Tony Fuller 和 Bobby Gould 。

利用不恰当的配置,该团队得以访问 Windows 11 并实现特权提升(EoP),并拿到 40000 美元奖金 + 4 点 Pwn 大师积分。

Pwn2Own 2022第二日战报:参赛者成功演示Windows 11特权提升漏洞

Viettel Cyber Security 团队利用了 Windows 11 上的整数溢出 EOP 漏洞

遗憾的是,一同参赛的 namnp 未能在规定时间内完成演示。至于详细的漏洞利用报告,各方尚未披露。

Pwn2Own 2022第二日战报:参赛者成功演示Windows 11特权提升漏洞

最后,REverse Tactics 团队的 Bruno PUJOS 利用了 Windows 11 上的“用后释放”(Use-After-Free)漏洞实现了特权提升。

Pwn2Own 2022第二日战报:参赛者成功演示Windows 11特权提升漏洞

感兴趣的朋友,还请关注官方的后续战报。

稿源:cnBeta.COM

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。