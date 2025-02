Halverwege mei vindt een nieuwe editie van hackwedstrijd Pwn2Own plaats, waarbij er hoofdprijzen worden uitgeloofd voor kwetsbaarheden in de Tesla autopilot en Microsoft Hyper-V client. Daarnaast is 'AI' voor het eerst onderdeel van de wedstrijd, die van 15 tot en met 17 mei plaatsvindt in Berlijn en wordt georganiseerd door securitybedrijf ZDI.

Pwn2Own is een jaarlijks terugkerend evenement waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en diensten. Er zijn verschillende edities van het evenement, waarbij verschillende categorieën centraal staan. Tijdens Pwn2On Berlin kunnen onderzoekers uit verschillende categorieën kiezen, zoals browsers, containers, virtualisatiesoftware, zakelijke applicaties, serversoftware, besturingssystemen en een Tesla Model 3/Y.

Onderzoekers die de autopilot van de Tesla-modellen weten te compromitteren en daarbij onbeperkte roottoegang hebben, kunnen 500.000 dollar en de auto winnen. In het geval de gebruikte exploit een reboot overleeft is er nog de 50.000 dollar 'Root Persistence' bonus. Een kwetsbaarheid in de Microsoft Hyper-V Client waarmee het mogelijk is om toegang tot het onderliggende host-systeem te krijgen levert 250.000 dollar op. Wanneer onderzoekers vervolgens ook nog hun rechten op het host-systeem via een kwetsbaarheid in de Windows-kernel weten te verhogen komt de totale beloning op 300.000 dollar uit.

Traditioneel is de browsercategorie het populairst bij onderzoekers die aan deze editie van Pwn2Own deelnemen. Een aanval waarbij het mogelijk is om code binnen de browser uit te voeren en vervolgens uit de sandbox te breken, waardoor het mogelijk is om code op het systeem uit te voeren, levert in het geval van Google Chrome en Microsoft Edge 150.000 dollar op. De browsers draaien tijdens de wedstrijd in een VMware Workstation virtual machine. Wanneer onderzoekers hun browser-aanval weten te combineren met een aanval om uit de virtual machine te breken is dit goed voor een extra 80.000 dollar.