Brechas no Windows 10 rendem US$ 80 mil em competição de hackers

A descoberta de duas falhas graves no Windows 10 rendeu US$ 80 mil a dois hackers na edição 2021 do Pwn2Own, uma das mais conceituadas competições de busca por vulnerabilidades de segurança do mundo. No evento, realizado entre os dias 6 e 8 de abril, especialistas se reúnem para buscar falhas em softwares consagrados, valendo prêmios em dinheiro e pontos para as equipes que encontrarem mais aberturas que, ao final, são reveladas aos responsáveis para que sejam corrigidas antes de usadas de forma maliciosa.

• Criminosos estão abusando de links do Discord e do Slack para enviar malware
• LinkedIn | Dados de 500 milhões de usuários estão à venda
• Vazamento expõe 1,7 TB de dados dos clientes da fintech brasileira iugu

A primeira brecha foi revelada na quarta (07) e rendeu US$ 40 mil a Tao Yan, especialista da Palo Alto Networks, que foi capaz de explorar um bug no Windows 10, a partir de condições dependentes de outros eventos da plataforma. Por meio da falha, ele foi capaz de escalar privilégios em um computador rodando as atualizações mais recentes do sistema operacional.

Da mesma forma, também foi capaz de fazer isso um pesquisador independente identificado como z3ro9, que usou falhas de integer overflow para obter permissões superiores no sistema. O feito também rendeu US$ 40 mil, enquanto o Windows 10 ainda seria comprometido uma terceira vez durante o evento, também a partir de uma falha semelhante, descoberta pelo Time Viettel, da Alemanha.

Brechas graves também foram encontradas em software de uso popular. O Zoom, com sua multiplicação de usuários durante a pandemia, foi um dos focos, com a dupla de pesquisadores da Computest, Daan Keuper e Thijs Alkemade, recebendo US$ 200 mil por uma série de falhas que, quando combinadas, permitiam executar códigos maliciosos no software de vídeo conferência.

O Google Chrome também foi assunto de um prêmio dos grandes, com US$ 100 mil concedidos aos especialistas Bruno Keith e Niklas Baumstark, da Data flow Security. Eles foram capazes de encontrar uma falha que atinge não apenas o browser, mas também o Edge, da Microsoft, e outras opções baseadas no Chromium, que permitia executar códigos após problemas no tratamento de valores pelo sistema.

Softwares de virtualização como o Parallels também foram explorados, com a descoberta de brechas no valor de US$ 40 mil, enquanto uma intrusão no sistema operacional Ubuntu Desktop rendeu US$ 30 mil ao pesquisador responsável. No total, de acordo com a organização, foram mais de US$ 1 milhão em prêmios concedidos ao longo dos três dias de evento, um recorde para o Pwn2Own, que nesta edição, realizada na cidade americana de Austin, contou com 23 times de pesquisadores e 10 produtos de diferentes setores.

Uma nota estranha, porém, aparece entre a distribuição de prêmios. O pote, ainda que recordista, poderia ter sido ainda maior, já que, além do dinheiro, a organização pretendia presentear com um Tesla Model 3 o time que descobrisse falhas críticas nos sistemas dos carros da montadora. Entretanto, nenhuma das equipes se registrou para fazer isso.

Os detalhes das brechas não são revelados ao público, de forma que não acabem caindo nas mãos de indivíduos maliciosos. Agora, as responsáveis pelos softwares comprometidos têm 90 dias para aplicar atualizações a seus produtos antes que as demonstrações sejam apresentadas na íntegra.

Fonte: Bleeping Computer