Hackers ganham US$ 1,2 milhão por invadirem Windows 10, Chrome e mais

Tecnologia

Pesquisadores participaram da competição Pwn2Own 2021, que premia hackers por descoberta de vulnerabilidades em plataformas

A competição de hackers Pwn2Own 2021, realizada pela Zero Day Initiative, pagou US$ 1,2 milhão aos participantes por invadirem o Windows 10, Google Chrome, Safari e outros serviços nas categorias de navegadores da web, virtualização, servidores e comunicação corporativa. No total, foram 23 tentativas cadastradas, e o prêmio total incluía mais de US$ 1,5 milhão em dinheiro, além de um Tesla Model 3 – ainda que ninguém tenha se inscrito em explorações visando o carro.

O concurso, que aconteceu entre os dias 06 e 08 de abril, premiou pesquisadores de segurança que conseguiram encontrar vulnerabilidades em plataformas importantes nas categorias descritas acima.

Nesta edição, os concorrentes hackearam o Windows 10, Microsoft TeamsMicrosoft Exchange, Ubuntu Desktop, Google Chrome, Microsoft Edge, Safari e Parallels Desktop – ganhando um recorde de US$ 1.210.000.

Primeiro dia foi marcado por de vulnerabilidades da Microsoft

No primeiro dia de Pwn2Own, os participantes ganharam US$ 440 mil ao conseguir explorar vulnerabilidades anteriormente desconhecidas no Windows 10, no Exchange e no Teams. O Exchange foi o primeiro a ser invadido – a equipe Devcore conseguiu US$ 200 mil e 20 pontos Master of Pwn pelo feito.

Depois foi a vez do Microsoft Teams ser explorado pelo hacker OV, que ganhou US$ 200 mil e mais 20 pontos Master of Pwn por encontrar dois bugs de segurança separados. Em seguida, a equipe Viettel ganhou US$ 40 mil e 4 pontos Master of Pwn por escalar privilégios para o SYSTEM de um usuário regular no Windows 10.

Além disso, o pesquisador Jack Dates da RET2 Systems ganhou US$ 100 mil após realizar uma técnica chamada integer overflow para executar um código em nível de kernel no macOS, levando ao acesso total do computador. Já o hacker Ryota Shiga da Flatt Security ganhou US$ 30 mil por um bug que permitia uma intrusão no Ubuntu Desktop.

Google Chrome e Zoom foram invadidos no segundo dia

No segundo dia, o Windows 10 foi invadido novamente, duas vezes, junto ao navegador Google Chrome e o aplicativo de videoconferências Zoom.

Bruno Keith e Niklas Baumstark ganharam US$ 100 mil após explorar uma falha que atingia o Chrome e o Microsoft Edge, além de outros navegadores baseados no Chromium. A brecha de segurança permitia executar códigos no sistema após bugs no tratamento de valores.

O Zoom Meetings foi hackeado por Daan Keuper and Thijs Alkemade da Computest, que ganharam US$ 200 mil por uma cadeia de exploração combinando três bugs diferentes.

Pwn2Own 2021 terminou em empate

Ao final da competição, o resultado foi um empate entre os participantes da Devcore, OV e Daan Keuper and Thijs Alkemade da Computest. Cada pesquisador/equipe ganhou US$ 200 mil e 20 pontos Master of Pwn.

Já as vulnerabilidades exploradas durante o concurso são enviadas aos fornecedores de software e hardware, que têm 90 dias para desenvolver e lançar as correções de segurança pertinentes.

Tecnoblog.net

Please follow and like us:
0
20
Pin Share20

Leave a Reply

Your email address will not be published. Required fields are marked *