Durante o segundo dia da competição de hackers Pwn2Own em Berlim, pesquisadores demonstraram vulnerabilidades desconhecidas que podem comprometer o VMware ESXi e o Microsoft SharePoint. Atualizações para corrigir os problemas ainda não estão disponíveis. Os pesquisadores foram recompensados com US$ 150.000 e US$ 100.000, respectivamente, por demonstrar as vulnerabilidades.
Pwn2Own é um evento anual que recompensa pesquisadores por demonstrar vulnerabilidades desconhecidas em produtos e serviços amplamente utilizados. O evento conta com diversas edições, com foco em diferentes categorias. Durante o Pwn2On Berlin, os pesquisadores podem escolher entre várias categorias, como navegadores, contêineres, software de virtualização, aplicativos de negócios, software de servidor, sistemas operacionais e um Tesla Model 3/Y.
Pelo cronograma de competição apresentado, parece que os maiores alvos escolhidos pelos pesquisadores são o VMware ESXi e o Microsoft SharePoint. Um pesquisador da empresa de segurança STARLabs SG demonstrou um estouro de inteiros para comprometer o ESXi. O ESXi, parte do vSphere da VMware, é um hipervisor bare metal para virtualização de sistemas operacionais. O software de virtualização é instalado diretamente em um servidor e pode então carregar o sistema operacional virtualizado.
De acordo com a empresa de segurança Zero Day Initiative, que organiza a competição, esta é a primeira vez que tal exploração foi demonstrada no Pwn2Own. Dois outros pesquisadores, incluindo o da Viettel Cyber Security, combinaram duas vulnerabilidades para comprometer um servidor Microsoft SharePoint. Os detalhes agora estão sendo compartilhados com a VMware e a Microsoft para que elas possam desenvolver atualizações.
Ontem foi o último dia do Pwn2Own Berlin. Pesquisadores demonstraram vulnerabilidades contra Mozilla Firefox, Oracle VirtualBox, VMware Workstation e, novamente, VMware ESXi.
