E é que os participantes, os melhores hackers de chapéu branco do planeta e pesquisadores de grandes empresas de segurança, concordam em fornecer todas as pesquisas de forma privada e não publicá-las por um período mínimo de 90 dias. Por sua vez, o concurso, organizado pela Zero Day Initiative da Trend Micro , oferece prêmios sólidos para o que é considerado um grande investimento no que significa antecipar o que pode acontecer como resultado de crimes cibernéticos, fortalecendo assim a segurança de softwares e dispositivos.
Pwn2Own 2022: ninguém resiste
Como nos anos anteriores, a lista de softwares hackeados é tão ampla quanto os alvos (21 produtos em várias categorias), e nem o software de código aberto nem o software proprietário são poupados. Os veículos Windows 11, Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Apple Safari, Ubuntu Desktop ou Tesla foram invadidos com sucesso por várias equipes durante os três dias do evento.
O Windows 11, o sistema mais recente da Microsoft, foi um dos alvos preferidos dos pesquisadores, e seis explorações bem-sucedidas foram demonstradas, três das quais são vulnerabilidades de dia zero. Entre os mais interessantes, destacaram o escalonamento de privilégios usando métodos Integer Overflow (buffer overflow) e outro usando um ataque Use-After-Free que usa erros de endereço de memória para causar uma negação de serviço e execução de código, obtendo controle total. comandos.
A mesma exploração foi usada por duas equipes para invadir um sistema executando o Ubuntu Desktop. Este é um ataque bem documentado que explora vulnerabilidades na forma como os aplicativos gerenciam a memória. Três zero dias também foram encontrados na plataforma de comunicação Microsoft Teams e várias vulnerabilidades nos navegadores Apple Safari e Mozilla Firefox ou no software de virtualização Oracle Virtualbox.
O sistema de infoentretenimento dos veículos Tesla 3 também foi hackeado. A categoria automotiva estreou na Pwn2Own 2019 por ser considerada um segmento importante no advento dos veículos inteligentes/autônomos. O pesquisador então usou um erro JIT no processo de renderização de um navegador da web para executar o código no firmware do carro e exibir uma mensagem em seu sistema de infoentretenimento. Ele pegou o carro que Tesla deu como prêmio.
No total, o Pwn2Own 2022 concedeu US$ 1,2 milhão em prêmios. Depois que as vulnerabilidades são exploradas e divulgadas de maneira controlada, os fornecedores de software e hardware têm 90 dias para liberar os patches de segurança apropriados para todas as vulnerabilidades descobertas.
Mais informações sobre Pwn2Own 2022 | Iniciativa Dia Zero
Deixe um comentário