A Pwn2Own testemunhou hackers derrotando a segurança não apenas do Windows 10 , mas também do MacOS e Ubuntu – tudo no primeiro dia.
Devido ao surto de coronavírus, o grande evento de hackers foi realizado com todos os envolvidos participando remotamente – com suas explorações preparadas com antecedência – e não em Vancouver, como geralmente é o caso (como parte da conferência de segurança CanSecWest).
Windows 10 é hackeado na Pwn2Own
Quanto aos detalhes, o Windows 10 foi invadido pelo Flourescence, aproveitando um bug de uso após livre (corrupção de memória) para obter privilégios escalados no sistema, que renderam US $ 40.000.
Foi um problema duplo para o Windows 10, pois o sistema operacional da Microsoft também veio com uma outra vulnerabilidade (diferente) de uso após livre demonstrada pela equipe Fluoroacetate, que valeu novamente US $ 40.000 (cerca de £ 34.000, AU $ 68.000).
Se esse nome soa como um sino, é porque o Fluoroacetate explorou uma vulnerabilidade no navegador de carro da Tesla no Pwn2Own no ano passado, o que lhes rendeu um dos carros elétricos e uma tonelada de prêmio em dinheiro: US $ 375.000 (cerca de £ 320.000, AU $ 635.000) , de fato.
Safari slip
No macOS, este foi punido pelo navegador Safari, com a escalada de privilégios alcançados por seis vulnerabilidades diferentes – com um pagamento resultante de US $ 70.000 (cerca de £ 60.000, AU $ 120.000).
E foi a equipe do RedRocket CTF que derrotou a segurança do Ubuntu com uma exploração de escalação de privilégios local por meio de um bug de validação de entrada no kernel do Ubuntu, que ganhou US $ 30.000 (cerca de £ 26.000, AU $ 50.000).
Outras vítimas se seguiram ao primeiro dia, sem surpresa, incluindo o Adobe Reader no Windows, o VMWare Workstation e o VirtualBox, todos explorados com sucesso.
A idéia, é claro, é que, com essas falhas de segurança apontadas, os desenvolvedores possam corrigi-las antes que sejam realmente exploradas por meios nefastos na natureza.
E as plataformas móveis? Curiosamente, não houve vitórias para os hackers contra os grandes sistemas operacionais móveis desta vez, com Android e iOS saindo ilesos. Além disso, Tesla também não se incomodou com os hackers este ano.
Infelizmente o Windows 10 tem sido campeão nas vulnerabilidades nos últimos meses
Saiba mais sobre esta e outras vulnerabilidades em nosso setor de segurança digital.