Não escapou ninguém. Seja Windows ou Linux, todos acabaram hackeados durante o evento Pwn2Own 2021. Este concurso ocorre todos os anos e reúne especialistas em segurança e hacker ético para encontrarem falhas importantes em sistemas e/ou aplicativos. Desta vez, além do Windows e do Ubuntu, o pessoal do Pwn2Own 2021 descobriu falhas no Zoom, Safari, MS Exchange que foram facilmente hackeados.
A edição 2021 do concurso de hacking Pwn2Own foi concluída na semana passada em 8 de abril com um empate triplo entre Team Devcore, OV e os pesquisadores da Computest Daan Keuper e Thijs Alkemade.
Um total de US$ 1,2 milhão foi concedido para 16 exploits de alto perfil durante o evento virtual de três dias organizado pela Zero Day Initiative (ZDI).
Windows, Ubuntu, Zoom, Safari, MS Exchange hackeado em Pwn2Own 2021
Os alvos com tentativas bem-sucedidas incluíram os sistemas operacionais Zoom, Apple Safari, Microsoft Exchange, Microsoft Teams, Parallels Desktop, Windows 10 e Ubuntu Desktop.
Alguns dos principais destaques são:
- Usando um desvio de autenticação e um escalonamento de privilégio local para assumir completamente o controle de um servidor Microsoft Exchange, pelo qual a equipe Devcore arrecadou $ 200.000
- Encadeando um par de bugs para obter a execução de código no Microsoft Teams, rendendo ao pesquisador OV $ 200.000
- Um exploit zero-click direcionado ao Zoom que empregou uma cadeia de três bugs para explorar o aplicativo messenger e obter a execução do código no sistema de destino. ($ 200.000)
- A exploração de uma falha de estouro de inteiro no Safari e uma gravação fora dos limites para obter a execução de código no nível do kernel ($ 100.000)
- Uma exploração destinada ao processador do Chrome para hackear os navegadores Google Chrome e Microsoft Edge (Chromium) (US $ 100.000)
- Aproveitando o uso após a liberação, condição de corrida e bugs de estouro de número inteiro no Windows 10 para escalar de um usuário regular para privilégios de SISTEMA ($ 40.000 cada)
- Combinar três falhas – um vazamento de memória não inicializado, um estouro de pilha e um estouro de inteiro – para escapar do Parallels Desktop e executar o código no sistema operacional subjacente (US$ 40.000)
- Explorando um bug de corrupção de memória para executar com sucesso o código no sistema operacional host de dentro do Parallels Desktop ($ 40.000)
- A exploração de bug de acesso fora dos limites para elevar de um usuário padrão a root no Ubuntu Desktop ($ 30.000).
Zoom hackeado em uma simples chamada
As vulnerabilidades do Zoom exploradas por Daan Keuper e Thijs Alkemade da Computest Security são particularmente notáveis ??porque as falhas não requerem nenhuma interação da vítima. Basta ter uma conta ou simplesmente participar de uma chamada do Zoom. Além do mais, isso afeta as versões do aplicativo para Windows e Mac, embora não esteja claro se as versões do Android e do iOS também são vulneráveis.
Os detalhes técnicos das falhas ainda não estão claros, mas em um comunicado que compartilha as descobertas, a empresa de segurança holandesa disse que os pesquisadores “foram então capazes de assumir quase completamente o sistema e executar ações como ligar a câmera, ligar o microfone , lendo e-mails, verificando a tela e baixando o histórico do navegador.”
O Zoom disse que lançou uma mudança para o servidor para corrigir os bugs, observando que está trabalhando na incorporação de proteções extras para resolver as falhas de segurança. A empresa tem uma janela de 90 dias para resolver os problemas antes que eles se tornem públicos.
Em 9 de abril, lançamos uma atualização do lado do servidor que se defende contra o ataque demonstrado em Pwn2Own no Zoom Chat, disse um porta-voz da empresa. Esta atualização não requer nenhuma ação de nossos usuários. Continuamos trabalhando em atenuações adicionais para resolver totalmente os problemas subjacentes.
A empresa também disse não ter conhecimento de nenhuma evidência de exploração ativa por esses problemas, ao mesmo tempo em que aponta que as falhas não impactam o chat in-session no Zoom Meetings, e que o “ataque só pode ser executado por um contato externo que o alvo foi aceito anteriormente ou faz parte da mesma conta organizacional do alvo.”
Mulheres fazem história
A pesquisadora independente Alisa Esage também fez história como a primeira mulher a ganhar o Pwn2Own após encontrar um bug no software de virtualização Parallels. Mas ela ganhou apenas uma vitória parcial por motivos de o problema ter sido relatado à ZDI antes do evento.
“Só posso aceitar como um fato que minha participação bem-sucedida no Pwn2Own atraiu o escrutínio de certos pontos discutíveis e potencialmente desatualizados nas regras do concurso”, tuitou Esage.
Via The Hacker News