Dia 2 do Pwn2Own: Microsoft Teams, Virtualbox e Tesla nos Alvos

No segundo dia do desafio de hackers Pwn2Own Vancouver 2023, os participantes receberam prémios em dinheiro no total de $475.000 por 10 vulnerabilidades exclusivas descobertas.

Dentre os alvos hackeados estão o carro Tesla Modelo 3, a plataforma de comunicação Microsoft Teams, a plataforma de virtualização Oracle VirtualBox e o sistema operacional Ubuntu Desktop.

Começamos com Thomas Imbert, na qual , fez a primeira demonstração e Thomas Bouzerar da Synacktiv mostrou uma cadeia de três vulnerabilidades contra o Oracle VirtualBox com uma exploração de privilégios de host. Embora uma das vulnerabilidades já fosse conhecida, eles receberam 8 pontos no “Master do Pwn” e $80.000.

Em resumo, o Pwn2Own é um evento anual em que hackers são convidados a encontrar vulnerabilidades em sistemas populares em troca de prémios em dinheiro. É uma forma de identificar e corrigir problemas de segurança antes que sejam explorados por criminosos cibernéticos.

Nesse ano, os participantes conseguiram encontrar diversas vulnerabilidades em sistemas importantes, o que destaca a importância de se investir em segurança digital para proteger as informações pessoais e empresariais.

Caso você tenha perdido o primeiro dia, confira o resumo neste artigo.

A plataforma de comunicação Microsoft Teams também foi hackeada pela equipe Viettel (@vcslab) usando uma sequência de 2 bugs, e isso rendeu a eles um prémio de $75,000 e 8 pontos no “Master do Pwn”.

Isso significa que eles descobriram duas falhas de segurança que, juntas, permitiram que eles invadissem o Microsoft Teams. O time Viettel recebeu um prémio em dinheiro e pontos de reconhecimento por sua habilidade em encontrar essas falhas e explorá-las.

No Pwn2Own, David Berard explorou a vulnerabilidade “unconfined Root” do sistema Infotainment da Tesla, enquanto Vincent Dehors utilizou um “heap overflow” e um “OOB write” para completar o ataque. Como resultado, eles receberam $250.000 em dinheiro e 25 pontos no “Master do Pwn “. Além disso, são elegíveis para receber uma recompensa de Tier 2.

A plataforma virtual de virtualização Oracle VirtualBox foi hackeada por dungdm (@ piers2), que faz parte da equipe Viettel (@vcslab). Para realizar o ataque, ele explorou uma variável não inicializada e uma falha de uso após liberação de memória. Pela ação, ele recebeu uma premiação de $40,000 e 4 pontos no “Master do Pwn”.

De 22 a 24 de março, os participantes do Pwn2Own Vancouver 2023 têm a oportunidade de ganhar $1.080.000 em dinheiro e dois carros Tesla Model 3.

Na competição, os pesquisadores vão tentar encontrar vulnerabilidades em diferentes tipos de produtos, desde softwares empresariais até sistemas automotivos.

Eles estarão focados em encontrar vulnerabilidades que permitam a eles obter privilégios de acesso adicionais, como acesso de administrador, em um dispositivo ou sistema, também conhecido como escalonamento local de privilégios (EoP).

“O evento deste ano promete pesquisas empolgantes, já que temos 19 participantes visando nove alvos diferentes – incluindo duas tentativas contra a Tesla”, disse ZDI.

“Para o evento deste ano, cada rodada pagará o preço total, o que significa que se todos os exploits tiverem sucesso, premiaremos mais de US$ 1.000.000”

Não perca a chance de acompanhar de perto todas as novidades e resultados da competição Pwn2Own.

Inscreva-se em nossa newsletter e receba em primeira mão todas as informações sobre os próximos dias da competição, incluindo as últimas notícias sobre as vulnerabilidades encontradas, os hackers participantes e as recompensas em jogo.

Mantenha-se informado e saiba como proteger melhor sua segurança cibernética. Inscreva-se agora na nossa newsletter!

Glossário:

• Tesla – Infotainment: Refere-se ao sistema de entretenimento e informações presentes nos veículos da Tesla.
• Unconfined Root: É uma vulnerabilidade que permite a um invasor obter acesso completo e irrestrito ao sistema alvo, com privilégios de “root” (super usuário) sem restrições. Ou seja, uma vez que um invasor explora essa vulnerabilidade, ele tem controle total do sistema.
• Heap Overflow: É uma técnica de ataque que explora uma vulnerabilidade em que um programa tenta armazenar mais dados na memória do que alocou para eles, permitindo que um invasor escreva dados maliciosos além dos limites da memória alocada, corrompendo assim a memória e permitindo que o invasor execute código malicioso.
• OOB Write: É uma técnica de ataque que explora uma vulnerabilidade em que um programa escreve dados além dos limites de um objeto, corrompendo a memória adjacente e permitindo que um invasor execute código malicioso.

• Recompensa deTier 2 : Refere-se a um prêmio adicional concedido a participantes que apresentam exploits de alto nível em alvos mais difíceis durante o desafio Pwn2Own.