O Pwn2Own é uma competição de hacking anual organizada pelo Zero Day Initiative, que é uma iniciativa de segurança cibernética da empresa de tecnologia Trend Micro. Na competição, hackers são convidados a tentar explorar vulnerabilidades em sistemas populares como Windows, macOS, Ubuntu e Tesla.
Os participantes que conseguem hackear esses sistemas são recompensados com pontos e dinheiro, além de terem a oportunidade de divulgar as falhas encontradas para os fabricantes dos sistemas, permitindo que as vulnerabilidades sejam corrigidas e, assim, tornando a internet um lugar mais seguro para todos.
A competição Pwn2Own é uma das principais formas de descobrir e corrigir falhas de segurança em sistemas importantes, garantindo que os usuários estejam protegidos contra ataques de hackers mal-intencionados.
No primeiro dia do desafio de invasão Pwn2Own Vancouver 2023, participantes conseguiram invadir sistemas operacionais como Windows 11, Tesla, macOS e Ubuntu Desktop.
Um participante chamado AbdulAziz Hariri, da empresa Haboob SA, conseguiu invadir o Adobe Reader utilizando uma sequência lógica de seis falhas no sistema, que conseguiram burlar as correções de segurança e evitar uma lista de funções bloqueadas. Por sua realização, ele recebeu 5 pontos no “Master do Pwn” e uma recompensa em dinheiro de $50.000.
Isso mostra que ainda existem vulnerabilidades em sistemas de segurança que precisam ser corrigidas.
O time STAR Labs conseguiu invadir o Microsoft SharePoint usando uma sequência de dois bugs, ou seja, duas falhas de segurança que foram exploradas em conjunto. Por terem conseguido invadir com sucesso, eles receberam uma premiação de 10 pontos no “Master do Pwn” e uma recompensa em dinheiro de $100.000.
Isso mostra que ainda existem vulnerabilidades a serem corrigidas no Microsoft SharePoint.
Bien Pham, um especialista em segurança da Qrious Security, conseguiu hackear o Oracle VirtualBox usando uma técnica que explorou uma falha chamada “OOB Read” e uma sobrecarga de buffer. Por sua habilidade em encontrar e explorar essa vulnerabilidade, ele recebeu 4 pontos no “Master do Pwn” e um prêmio de $40.000.
Essa demonstração destaca que ainda existem pontos fracos em sistemas de segurança, mesmo em programas desenvolvidos por empresas renomadas como a Oracle.
A equipe Synacktiv usou uma técnica de ataque chamada TOCTOU para hackear o sistema da Tesla chamado “Gateway”. Com isso, eles conseguiram obter acesso não autorizado a informações e recursos do veículo elétrico.
Como recompensa pelo sucesso no ataque, a equipe recebeu um carro Tesla Modelo 3, $100.000 em dinheiro e 10 pontos no Master do Pwn, um programa de premiação para hackers que conseguem invadir sistemas de alta segurança. Isso mostra que ainda existem vulnerabilidades em sistemas considerados seguros, e que empresas precisam ficar sempre alertas para prevenir ataques maliciosos.
CONFIRMED! @Synacktiv successfully executed a TOCTOU exploit against Tesla – Gateway. They earn $100,000 as well as 10 Master of Pwn points and this Tesla Model 3. #Pwn2Own #P2OVancouver pic.twitter.com/W61NasJPAl
— Zero Day Initiative (@thezdi) March 22, 2023
Novamente em cena, equipe STAR Labs conseguiu também hackear o sistema operacional Ubuntu Desktop, mesmo sabendo que existia uma vulnerabilidade conhecida. Eles conseguiram acessar o sistema e explorar a vulnerabilidade para ganhar 1,5 pontos de “Master do Pwn” e $15.000 de prémio. Isso mostra que mesmo vulnerabilidades já conhecidas podem ser exploradas por hackers habilidosos..
Collision: @starlabs_sg successfully executed their attack against Ubuntu Desktop, but the exploit was previously known. They earn $15,000 and 1.5 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/xgAxktMnjG
— Zero Day Initiative (@thezdi) March 22, 2023
Marcin Wizowski descobriu uma falha de validação de entrada no Windows 11, o que permitiu que ele aumentasse seus privilégios no sistema. Ele foi premiado com $30.000 e 3 pontos de “Master do Pwn”.
Em termos mais simples, isso significa que Marcin encontrou uma forma de “enganar” o Windows 11 para que ele pudesse ter mais controle sobre o sistema do que o normalmente permitido. Por sua habilidade em encontrar essa falha, ele ganhou uma quantia em dinheiro e pontos que comprovam sua expertise em segurança cibernética.
Success! Marcin Wiązowski used an improper input validation bug to elevate privileges on Windows 11. He earns $30,000 and 3 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/aoq12AaGfn
— Zero Day Initiative (@thezdi) March 22, 2023
No primeiro dia da competição Pwn2Own Vancouver 2023, participantes conseguiram explorar vulnerabilidades em vários sistemas, incluindo Windows 11, Tesla, macOS e Ubuntu Desktop. Cada hack bem sucedido foi recompensado com pontos e dinheiro.
Por exemplo, AbdulAziz Hariri da Haboob SA explorou o Adobe Reader usando uma sequência de 6 bugs e ganhou 5 pontos e $50.000. STAR Labs ganhou 10 pontos e $100.000 depois de invadir o Microsoft SharePoint com uma sequência de 2 bugs. A Synacktiv escalou privilégios no macOS da Apple ao explorar um bug TOCTOU e ganhou $40.000 e 4 pontos.
No total, houve oito tentativas bem sucedidas, incluindo a invasão de um Tesla e de um SharePoint RCE. Cada participante ganhou dinheiro por cada exploração de vulnerabilidade. Os hackers receberam $375.000 (além de um Tesla Modelo 3) no primeiro dia da competição por 12 exploits zero-day.
Não perca a chance de acompanhar de perto todas as novidades e resultados da competição Pwn2Own. Inscreva-se em nossa newsletter e receba em primeira mão todas as informações sobre os próximos dias da competição, incluindo as últimas notícias sobre as vulnerabilidades encontradas, os hackers participantes e as recompensas em jogo. Mantenha-se informado e saiba como proteger melhor sua segurança cibernética.
Inscreva-se agora na nossa newsletter!
Descubra as maiores façanhas do Dia 2.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
1 comentário