Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2020, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 18 по 20 марта в рамках конференции CanSecWest в Ванкувере. Общий размер призового фонда в 2020 году составит более 4 млн долларов США, не считая новый автомобиль Tesla Model 3 в качестве приза.

Как и в прошлом году наиболее существенные вознаграждения назначены за взлом информационных систем автомобиля Tesla Model 3. Наивысшая награда в 500 тысяч долларов назначена на создание многоуровневого эксплоита, позволяющего добиться выполнения своего кода сразу на уровне нескольких автомобильных подсистем (начальное проникновение через Wi-Fi, Bluetooth или тюнер с последующей эксплуатацией уязвимости в информационно-развлекальной подсистеме и получением постоянного доступа к VCSEC, шлюзу или автопилоту). Кроме того, назначены дополнительные призы за root-доступ к информационно-развлекальной подсистеме ($50000), контроль за шиной CAN Bus ($100 000) и root-доступ к окружению автопилота ($50 000), которые увеличивают максимальную выплату до 700 тысяч долларов.

За создание эксплоита, обходящего защиту двух подсистем назначены вознаграждения в 250, 300 и 400 тысяч долларов. Также назначены 8 призов размером от 35 до 200 тысяч долларов за получение контроля за шиной CAN Bus, оставление вредоносного ПО активным после перезапуска, проведение атак на модем, тюнер, Wi-Fi, Bluetooth, информационно-развлекательную систему, автопилот и функцию использования смартфона в роли ключа. Суммарный размер призового фонда в категориях, связанных с Tesla составляет 2 миллиона 490 тысяч долларов.

Среди других номинаций в Pwn2Own 2020:

• Взлом браузеров Chrome, Firefox, Safari и Microsoft Edge (как на базе EDGEHTML, так и с движком Chromium);
• Взлом систем виртуализации Oracle VirtualBox, VMware Workstation, и Microsoft Hyper-V Client;
• Взлом Microsoft Office и Adobe Reader;
• Взлом Microsoft Windows RDP;
• Создание эксплоита для локального повышения привилегий в Ubuntu и Windows.

Как и в прошлом году в призовые номинации не вошли взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Тем не менее, возвращена номинация за локальное повышение привилегий в Ubuntu.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52167