Hackers ganham US$ 1,2 milhão por invadirem Windows 10, Chrome e mais
Pesquisadores participaram da competição Pwn2Own 2021, que premia hackers por descoberta de vulnerabilidades em plataformas
Hackers ganharam US$ 1,2 milhão em competição (Imagem: Mika Baumeister/Unsplash)
A competição de hackers Pwn2Own 2021, realizada pela Zero Day Initiative, pagou US$ 1,2 milhão aos participantes por invadirem o Windows 10, Google Chrome, Safari e outros serviços nas categorias de navegadores da web, virtualização, servidores e comunicação corporativa. No total, foram 23 tentativas cadastradas, e o prêmio total incluía mais de US$ 1,5 milhão em dinheiro, além de um Tesla Model 3 – ainda que ninguém tenha se inscrito em explorações visando o carro.
- Hacker invade carteira de criptomoedas da Roll e rouba US$ 5,7 milhões
- Hacker que expôs segredos e código-fonte da Intel é alvo da polícia
O concurso, que aconteceu entre os dias 06 e 08 de abril, premiou pesquisadores de segurança que conseguiram encontrar vulnerabilidades em plataformas importantes nas categorias descritas acima.
Nesta edição, os concorrentes hackearam o Windows 10, Microsoft Teams, Microsoft Exchange, Ubuntu Desktop, Google Chrome, Microsoft Edge, Safari e Parallels Desktop – ganhando um recorde de US$ 1.210.000.
Primeiro dia foi marcado por de vulnerabilidades da Microsoft
No primeiro dia de Pwn2Own, os participantes ganharam US$ 440 mil ao conseguir explorar vulnerabilidades anteriormente desconhecidas no Windows 10, no Exchange e no Teams. O Exchange foi o primeiro a ser invadido – a equipe Devcore conseguiu US$ 200 mil e 20 pontos Master of Pwn pelo feito.
Depois foi a vez do Microsoft Teams ser explorado pelo hacker OV, que ganhou US$ 200 mil e mais 20 pontos Master of Pwn por encontrar dois bugs de segurança separados. Em seguida, a equipe Viettel ganhou US$ 40 mil e 4 pontos Master of Pwn por escalar privilégios para o SYSTEM de um usuário regular no Windows 10.
Além disso, o pesquisador Jack Dates da RET2 Systems ganhou US$ 100 mil após realizar uma técnica chamada integer overflow para executar um código em nível de kernel no macOS, levando ao acesso total do computador. Já o hacker Ryota Shiga da Flatt Security ganhou US$ 30 mil por um bug que permitia uma intrusão no Ubuntu Desktop.
Google Chrome e Zoom foram invadidos no segundo dia
No segundo dia, o Windows 10 foi invadido novamente, duas vezes, junto ao navegador Google Chrome e o aplicativo de videoconferências Zoom.
Bruno Keith e Niklas Baumstark ganharam US$ 100 mil após explorar uma falha que atingia o Chrome e o Microsoft Edge, além de outros navegadores baseados no Chromium. A brecha de segurança permitia executar códigos no sistema após bugs no tratamento de valores.
O Zoom Meetings foi hackeado por Daan Keuper and Thijs Alkemade da Computest, que ganharam US$ 200 mil por uma cadeia de exploração combinando três bugs diferentes.
Pwn2Own 2021 terminou em empate
Ao final da competição, o resultado foi um empate entre os participantes da Devcore, OV e Daan Keuper and Thijs Alkemade da Computest. Cada pesquisador/equipe ganhou US$ 200 mil e 20 pontos Master of Pwn.
Já as vulnerabilidades exploradas durante o concurso são enviadas aos fornecedores de software e hardware, que têm 90 dias para desenvolver e lançar as correções de segurança pertinentes.
Com informações: Bleeping Computer (1, 2 e 3)
