0
0
Dois pesquisadores ganharam US$ 200.000 no segundo dia da competição por um exploit Zoom que permitiu execução remota de código
Um prêmio de US$ 200.000 foi ganho por dois pesquisadores de segurança no segundo dia da competição Pwn2Own 2021, com um exploit para falhas do Zoom que permitiram a execução remota de código. As falhas e a prova de conceito foram demonstradas por Daan Keuper e Thijs Alkemade, ambos da empresa Computest. O acesso envolve três vulnerabilidades e funciona nas últimas versões do Windows 10 e do Zoom. Na demonstração do Pwn2Own, a falsa vítima viu um convite de reunião do invasor e não precisou clicar em nada para acionar a execução do código.
No primeiro dia da competição, os participantes ganharam US$ 570.000, incluindo US$ 440.000 por exploits direcionados a produtos Microsoft (Teams, Exchange e Windows). De acordo com a Zero Day Initiative (ZDI), iniciativa da Trend Micro que organiza a competição, é a primeira vez que mais de um milhão de dólares foram pagos no Pwn2Own. Os pesquisadores Bruno Keith e Niklas Baumstark, amboa da Dataflow Security, foram premiados com US$ 100.000 no segundo dia da competição, pela exploração de falhas nos navegadores Chrome e Microsoft Edge.
No primeiro dia, falharam as tentativas de hackear a máquina virtual da Parallels, mas no segundo dia o pesquisador Jack Dates, da RET2 Systems, e também Sunjoo Park ganharam US$ 40.000 cada um ao conseguir executar código no sistema operacional subjacente por meio do aplicativo Parallels Desktop.
Também houve duas tentativas bem-sucedidas de escalar privilégios no Windows 10 e uma exploração de escalonamento de privilégios bem-sucedida no Ubuntu. Esses participantes ganharam US$ 40.000 e US$ 30.000, respectivamente.
FONTE: CISO ADVISOR