Durante o fim de semana de 16 a 17 de outubro, hackers chineses entraram em uma espécie de fúria durante ataque violento que foi a Copa Tianfu. Os hackers violaram iOS 15, Windows 10 e Google Chrome durante esse ataque maciço de segurança cibernética.
A Copa Tianfu é uma competição anual, realizada na província de Sichuan de Chengdu. Ela tem sido a escolha dos hackers de elite da China, uma vez que eles foram proibidos de participar de eventos competitivos de hackers semelhantes fora do país. O maior e mais conhecido deles, Pwn2Own, acontecerá em Austin, Texas, de 2 a 5 de novembro.
A Forbes que o massivo ataque à segurança cibernética da Copa Tianfu atingiu iPhone 13 Pro, rodando uma versão totalmente corrigida (na época) do iOS 15.0.2, foi violado não uma, mas duas vezes. As vulnerabilidades de dia zero, exploradas pelo Kunlun Lab e Team Pangu em questão de segundos no dia, viram um ataque de execução remota de código e o primeiro jailbreak do iOS 15.
Além dos ataques ao Apple iOS e Safari, houve toda uma série de outras vítimas, relata a Forbes. Isso incluiu a Microsoft, que viu cinco exploits bem-sucedidos envolvendo o sistema operacional Windows 10, um impactando o Microsoft Exchange, e o Google, que viu o Chrome sucumbir duas vezes, aponta o site.
No entanto, a lista é um pouco mais extensa. Adobe PDF, o roteador Asus AX56U, Docker CE, Parallels VM, QEMA VM, Ubuntu 20, VMware ESXi e Workstation também foram hackeados com sucesso, de acordo com o site. Todos os detalhes das vulnerabilidades exploradas e as próprias explorações serão filtradas para o domínio público nos próximos meses. Enquanto isso, a divulgação completa das falhas de segurança teria sido feita imediatamente a todos os fornecedores afetados.
Quais fornecedores já lançaram correções de segurança da Copa Tianfu?
O pessoal da Forbes entrou em contato com todos os fornecedores cujos produtos foram explorados durante o fim de semana da Copa Tianfu, solicitando uma declaração sobre os cronogramas de patch para as vulnerabilidades em questão.
Um porta-voz da Microsoft me disse que “todas as vulnerabilidades relatadas como parte do concurso são divulgadas de forma responsável e confidencial. No entanto, com esperança, podemos esperar os patches para as vulnerabilidades do Windows 10 e do Microsoft Exchange na terça-feira, 9 de novembro.
O Google não forneceu uma declaração, mas confirmou que implementará todos os patches necessários assim que os problemas forem investigados minuciosamente. No entanto, de acordo com o blog de segurança do Google, parece que as duas vulnerabilidades exploradas durante a Copa Tianfu foram corrigidas no Chrome 95.0.4638.69, que começou a ser lançado na quinta-feira, 28 de outubro, aponta a Forbes.
O único outro fornecedor que respondeu solicitação de mais informações da Forbes foi a Red Hat em relação a uma vulnerabilidade no QEMA VM. Infelizmente, a segurança da Red Hat não tinha nada que pudesse ser compartilhado.
Via: Forbes