Cada any, la Zero Day Initiative acull un concurs de pirateria informàtica 'Pwn2Own' on els investigadors de seguretat poden guanyar diners per trobar vulnerabilitats greus en plataformes principals com Windows i macOS.
Aquest esdeveniment virtual de Pwn2Own del 2021 va començar a principis d'aquesta setmana i va incloure 23 intents de pirateria separats en 10 productes diferents, inclosos navegadors web, virtualització, servidors i molt més. L'esdeveniment Pwn2Own d'enguany s'ha retransmès en directe a YouTube, un acte de tres dies que abasta diverses hores al dia.
Els productes d'Apple no estaven molt enfocats a Pwn2Own 2021, però el primer dia, Jack Dates de RET2 Systems va executar una explotació de dia zero de Safari al nucli i es va guanyar 100.000 dòlars. Va utilitzar un desbordament d'enters a Safari i una escriptura OOB per obtenir l'execució de codi a nivell del nucli, tal com es mostra al tuit següent.
Felicitats Jack! Aconseguint un Apple Safari amb 1 clic al Kernel Zero-day a les # Pwn2Own 2021 en nom de RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Sistemes RET2 (@ret2systems) 6 d'abril de 2021
Altres intents de pirateria durant l'esdeveniment Pwn2Own van dirigir-se a Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome i Microsoft Edge.
Els investigadors holandesos Daan Keuper i Thijs Alkemade, per exemple, van demostrar un defecte greu de Zoom. El duet va explotar un trio de defectes per aconseguir el control total d'un ordinador objectiu mitjançant l'aplicació Zoom sense interacció de l'usuari.
Encara estem confirmant els detalls del #Zoom explotar amb Daan i Thijs, però aquí hi ha un millor gif de l'error en acció. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day Initiative (@thezdi) 7 d'abril de 2021
Els participants de Pwn2Own van rebre més d'1,2 milions de dòlars en recompenses pels errors que van descobrir. Pwn2Own dóna a venedors com Apple 90 dies per solucionar les vulnerabilitats que es descobreixen, de manera que podem esperar que l'error es solucioni en una actualització en un futur no gaire llunyà.
Entrades Populars