TrendAI, specialista globale di AI security e business unit di Trend Micro, annuncia i risultati dell’hackaton Pwn2Own Berlin. I concorrenti hanno scoperto e divulgato 47 vulnerabilità zero-day uniche in diverse categorie, tra cui database AI, agenti di codifica, browser Web, applicazioni aziendali, server e altro ancora.
“In TrendAI proteggiamo i nostri clienti grazie alla migliore intelligence sulle minacce del settore. Le vulnerabilità scoperte durante Pwn2Own consentono ai vendor di correggere rapidamente eventuali difetti e ci permettono di offrire una protezione molto più avanzata rispetto ad altre soluzioni sul mercato, tramite patch virtuali. Gli strumenti e le infrastrutture AI sono sempre più importanti e rimanere al passo con le vulnerabilità è fondamentale” dichiara Marco Fanuli, Technical Director di TrendAI Italia, una Business Unit di Trend Micro.
NVIDIA ha partecipato all’evento come sponsor, mettendo a disposizione i propri prodotti per consentire ai concorrenti di individuare eventuali vulnerabilità. Sono stati inclusi Megatron Bridge, NV Container Toolkit e Dynamo.
Grazie alle scoperte effettuate in occasione di Pwn2Own Berlin e, in generale, dalla Zero Day Initiative (ZDI) di TrendAI durante tutto l’anno, i vendor possono individuare e correggere rapidamente le vulnerabilità prima che i criminali informatici le sfruttino, a beneficio di organizzazioni e utenti finali di software o hardware. Gli studi della ZDI hanno dimostrato che i vendor applicano sempre meno patch alle vulnerabilità software scoperte. Grazie al processo di divulgazione dei bug gestito dalla ZDI, i clienti TrendAI Vision One sono protetti in media tre mesi prima rispetto alle aziende che utilizzano altre soluzioni.
I risultati principali dell’evento:
- Orange Tsai (@orange_8361) del DEVCORE Research Team ha concatenato 3 bug per ottenere l’esecuzione di codice remoto come SISTEMA su Microsoft Exchange, guadagnando $200.000. Sono stati concatenati anche 4 bug logici, ottenendo una fuga sandbox su Microsoft Edge, per un premio di $175.000
- Splitline (@splitline) del DEVCORE Research Team ha concatenato 2 bug per violare Microsoft SharePoint, guadagnando $100.000
- Nguyen Hoang Thach (@hi_im_d4rkn3ss) di STARLabs SG (@starlabs_sg) ha utilizzato un bug Memory Corruption per violare VMware ESXi con il componente aggiuntivo Cross-tenant Code Execution, guadagnando $200.000 e 20 punti Master of Pwn
- Chompie di IBM X-Force Offensive Research (XOR) ha sfruttato un singolo bug per violare NV Container Toolkit, ottenendo un premio di $50.000.
Il montepremi della manifestazione ha raggiunto $1.298.250. La prossima edizione della competizione, Pwn2Own Cork, è in programma a ottobre.
