Cada año, Zero Day Initiative organiza un concurso de piratería 'Pwn2Own' en el que los investigadores de seguridad pueden ganar dinero para encontrar vulnerabilidades graves en plataformas importantes como Windows y macOS.
Este evento virtual 2021 Pwn2Own comenzó a principios de esta semana y contó con 23 intentos de piratería por separado en 10 productos diferentes, incluidos navegadores web, virtualización, servidores y más. Un asunto de tres días que se extiende por varias horas al día, el evento Pwn2Own de este año se transmitió en vivo en YouTube.
Los productos de Apple no fueron muy objetivo en Pwn2Own 2021, pero el primer día, Jack Dates de RET2 Systems ejecutó un exploit de Safari a kernel de día cero y ganó $ 100,000. Usó un desbordamiento de enteros en Safari y una escritura OOB para obtener la ejecución de código a nivel de kernel, como se muestra en el tweet a continuación.
¡Felicitaciones Jack! Aterrizando un Safari de Apple con 1 clic al Kernel Zero-day en # Pwn2Own 2021 en nombre de RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs - Sistemas RET2 (@ ret2systems) 6 de abril de 2021
Otros intentos de piratería durante el evento Pwn2Own se dirigieron a Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome y Microsoft Edge.
Los investigadores holandeses Daan Keuper y Thijs Alkemade, por ejemplo, demostraron un grave defecto de Zoom. El dúo aprovechó un trío de fallas para obtener el control total de una PC objetivo usando la aplicación Zoom sin interacción del usuario.
Todavía estamos confirmando los detalles del #Zoom explotar con Daan y Thijs, pero aquí hay un mejor gif del error en acción. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW - Iniciativa Día Cero (@thezdi) 7 de abril de 2021
Los participantes de Pwn2Own recibieron más de $ 1.2 millones en recompensas por los errores que descubrieron. Pwn2Own les da a proveedores como Apple 90 días para producir una solución para las vulnerabilidades que se descubren, por lo que podemos esperar que el error se solucione en una actualización en un futuro no muy lejano.
Entradas Populares