Cyberthreat.id – Pada hari pertama kompetisi peretasan Pwn2Own 2021 yang diadakan pada Selasa (6 April 2021), penyelenggara telah mengeluarkan uang lebih dari US$500 juta.

Zero Day Initiative (ZDI) dari Tren Micro, penyelenggara kompetisi, mengatakan ada tujuh upaya peretasan pada harti pertama, tapi hanya lima yang berhasil.

Tim bernama “Devcore” memperoleh US$200.000 dalam upaya mengambil kendali penuh atas server Microsoft Exchange dengan membobol otentikasi dan kerentanan eskalasi hak istimewa lokal.

Dengan hadiah yang sama, peneliti berjuluk “OV” melakukan eksploitasi eksekusi kode pada Microsoft Teams.

Lalu, peneliti Jack Dates dari RET2 Systems memperoleh US$100.000 untuk upaya eksploitasi kode tingkat kernel pada peramban web Safari milik Apple.

Sementara, Tim Viettel memperoleh US$40.000 untuk kerentanan eskalasi hak istimewa lokal di Windows 10 dan Ryota Shiga dari Flatt Security mendapat US$30.000 untuk kerentanan eskalasi hak istimewa di Ubuntu versi desktop.

Hari kedua

Pada hari kedua dan ketiga (Rabu-Kamis, 7-8 April), para peserta mencoba meretas Chrome dan Edge, Zoom, Parallels Desktop, Microsoft Exchange, Ubuntu, dan Windows 10.

Jack Dates kembali berhasil meretas tiga kerentanan—kebocoran memori yang tidak diinisialisasi, stack overflow, integer overflow untuk Parallels Desktop serta menjalankan kode pada OS yang mendasarinya. Ia mendapatkan US$40.000 dan empat poin.

Dalam dua hari, ia mengumpulkan US$140.000 dan 14 poin Master of Pwn.

Selanjutnya, Bruni Ketih dan Niklas Baumstark dari Dataflow Security menargetkan Google Chrome dan Microsoft Edge untuk kategori peramban web. Memanfaatkan kerentanan Typer Mismatch, mereka meretas perender di kedua peramban. Mereka mendapat US$100.000 dan 10 poin Master of Pwn.

Peneliti Daan Keuper dan Thijs Alkemade dari Zoom Messenger menargetkan Computest dalam kategori komunikasi perusahaan. Menggunakan rantai tiga kerentanan, mereka meretas Zoom messenger dan mendapatkan eksekusi kode pada sistem target—semuanya tanpa mengklik target apa pun. Hadiahnya US$200.000 dan 20 poin Master of Pwn.

Lalu, Tao Yan dari Palo Alto Networks menargetkan Windows 10 dalam kategori eskalasi hak istimewa lokal. Mendapat US$40.000 dan 4 poin Master of Pwn.

Peneliti Sunjoo Park alias Grigoritchy mendapatkan US$40.000 dan 4 poin Master of Pwn setelah berhasil menargetkan Parallels Dekstop kategori virtualisasi.

Peneliti Manfred mendapatkan US$30.000 dan 3 poin Master of Pwn setelah meretas menggunakan kerentanan OOB Access untuk Ubuntu desktop.

Dan, terakhir, peneliti berjuluk “z3r09” menargetkan Windows 10 dalam kategori eskalasi hak istimewa lokal. Ia mendapatkan US$40.00 dan 4 poin Master of Pwn.

Tahun ini, kompetisi diselenggarakan di Vancouver, Kanada. Mereka juga menyiarakan acara tersebut melalui YouTube, Twitch, dan situs web konferensi. Acara yang digelar tiga hari ini memiliki total 23 percobaan peretasan yang disediakan oleh peserta kompetisi.

Ada juga kategori otomotif tahun ini untuk meretas mobil Tesla. Peserta telah ditawari hingga US$ 600.000 dan satu kendaraan, tetapi tampaknya belum ada yang mendaftar untuk kategori ini.

Sebuah tim peneliti mendapatkan Tesla pada 2019 ketika kategori peretasan otomotif diperkenalkan di Pwn2Own. Pada 2020, kontestan tidak memiliki kesempatan untuk meretas Tesla karena pandemi virus corona.[]

Naskah disarikan dari blog perusahaan zerodayinitiative.com dan SecurityWeek.