Pwn2Own pagou US$ 265 mil de prêmios a hackers éticos

Paulo Brito
24/03/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Concurso seria em Vancouver mas foi feito por meio do Zoom. Vídeo de invasão da VirtualBox não foi distribuído porque contém muitas informações sobre a exploração da plataforma

O concurso Pwn2Own 2020, promovido Zero Day Initiative e patrocinado pela Trend Micro, que estava agendado para acontecer em Vancouver na semana passada, acabou sendo realizado online por força da pandemia, sendo encerrado na quinta-feira. Apesar disso, os resultados foram (como sempre) surpreendentes, dando aos vencedores um total de US$ 265 mil distribuídos em 24 premiações, sendo a menor de US$ 5 mil e a maior de US$ 20 mil.

A equipe vencedora, chamada Fluoroacetate, composta pelos pesquisadores Amat Cama e Richard Zhu, demonstrou maneiras de explorar o Microsoft Windows e o Adobe Reader com técnicas de escalonamento de privilégios locais, utilizando uma falha para acessar várias áreas de um sistema. Eles ganharam um total de US$ 90.000 pelos hacks.

Outro premiado, o pesquisador Phi Pham Hong, da Star Labs, com sede em Cingapura, ganhou US$ 40.000 por usar um bug para ler dados fora dos limites e executar código não autorizado em um Oracle VirtualBox, software de máquinas virtuais. Um porta-voz do concurso não quis compartilhar a filmagem da vulnerabilidade do VirtualBox, dizendo que o vídeo “revela muitas informações sobre a exploração”.

Uma equipe do Laboratório de Software e Segurança da Georgia Tech Systems ganhou US$ 70.000 pelo uso do aplicativo da calculadora em um macOS para acessar privilégios de root na máquina, assumindo essencialmente o controle do dispositivo por meio de um dos aplicativos mais inócuos. Outro hacker ético optou por segmentar a área de trabalho do Ubuntu com uma exploração de elevação de privilégio local (LPE). Ele explorou um bug de validação de entrada no kernel para mudar do status do usuário para root. O que lhe rendeu US $ 30.000.

O concurso foi feito por meio da plataforma de teleconferência Zoom com conexões na África, Cingapura e Américas.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest