Hackers ganham US$ 1,2 milhão por invadirem Windows 10, Chrome e mais
Pesquisadores participaram da competição Pwn2Own 2021, que premia hackers por descoberta de vulnerabilidades em plataformas
Pesquisadores participaram da competição Pwn2Own 2021, que premia hackers por descoberta de vulnerabilidades em plataformas
A competição de hackers Pwn2Own 2021, realizada pela Zero Day Initiative, pagou US$ 1,2 milhão aos participantes por invadirem o Windows 10, Google Chrome, Safari e outros serviços nas categorias de navegadores da web, virtualização, servidores e comunicação corporativa. No total, foram 23 tentativas cadastradas, e o prêmio total incluía mais de US$ 1,5 milhão em dinheiro, além de um Tesla Model 3 – ainda que ninguém tenha se inscrito em explorações visando o carro.
O concurso, que aconteceu entre os dias 06 e 08 de abril, premiou pesquisadores de segurança que conseguiram encontrar vulnerabilidades em plataformas importantes nas categorias descritas acima.
Nesta edição, os concorrentes hackearam o Windows 10, Microsoft Teams, Microsoft Exchange, Ubuntu Desktop, Google Chrome, Microsoft Edge, Safari e Parallels Desktop – ganhando um recorde de US$ 1.210.000.
No primeiro dia de Pwn2Own, os participantes ganharam US$ 440 mil ao conseguir explorar vulnerabilidades anteriormente desconhecidas no Windows 10, no Exchange e no Teams. O Exchange foi o primeiro a ser invadido – a equipe Devcore conseguiu US$ 200 mil e 20 pontos Master of Pwn pelo feito.
Depois foi a vez do Microsoft Teams ser explorado pelo hacker OV, que ganhou US$ 200 mil e mais 20 pontos Master of Pwn por encontrar dois bugs de segurança separados. Em seguida, a equipe Viettel ganhou US$ 40 mil e 4 pontos Master of Pwn por escalar privilégios para o SYSTEM de um usuário regular no Windows 10.
Além disso, o pesquisador Jack Dates da RET2 Systems ganhou US$ 100 mil após realizar uma técnica chamada integer overflow para executar um código em nível de kernel no macOS, levando ao acesso total do computador. Já o hacker Ryota Shiga da Flatt Security ganhou US$ 30 mil por um bug que permitia uma intrusão no Ubuntu Desktop.
No segundo dia, o Windows 10 foi invadido novamente, duas vezes, junto ao navegador Google Chrome e o aplicativo de videoconferências Zoom.
Bruno Keith e Niklas Baumstark ganharam US$ 100 mil após explorar uma falha que atingia o Chrome e o Microsoft Edge, além de outros navegadores baseados no Chromium. A brecha de segurança permitia executar códigos no sistema após bugs no tratamento de valores.
O Zoom Meetings foi hackeado por Daan Keuper and Thijs Alkemade da Computest, que ganharam US$ 200 mil por uma cadeia de exploração combinando três bugs diferentes.
Ao final da competição, o resultado foi um empate entre os participantes da Devcore, OV e Daan Keuper and Thijs Alkemade da Computest. Cada pesquisador/equipe ganhou US$ 200 mil e 20 pontos Master of Pwn.
Já as vulnerabilidades exploradas durante o concurso são enviadas aos fornecedores de software e hardware, que têm 90 dias para desenvolver e lançar as correções de segurança pertinentes.