Brechas no Windows 10 rendem US$ 80 mil em competição de hackers

Brechas no Windows 10 rendem US$ 80 mil em competição de hackers

Por Felipe Demartini | Editado por Jones Oliveira | 09 de Abril de 2021 às 13h26
Divulgação/Zero Day Initiative

A descoberta de duas falhas graves no Windows 10 rendeu US$ 80 mil a dois hackers na edição 2021 do Pwn2Own, uma das mais conceituadas competições de busca por vulnerabilidades de segurança do mundo. No evento, realizado entre os dias 6 e 8 de abril, especialistas se reúnem para buscar falhas em softwares consagrados, valendo prêmios em dinheiro e pontos para as equipes que encontrarem mais aberturas que, ao final, são reveladas aos responsáveis para que sejam corrigidas antes de usadas de forma maliciosa.

A primeira brecha foi revelada na quarta (07) e rendeu US$ 40 mil a Tao Yan, especialista da Palo Alto Networks, que foi capaz de explorar um bug no Windows 10, a partir de condições dependentes de outros eventos da plataforma. Por meio da falha, ele foi capaz de escalar privilégios em um computador rodando as atualizações mais recentes do sistema operacional.

Da mesma forma, também foi capaz de fazer isso um pesquisador independente identificado como z3ro9, que usou falhas de integer overflow para obter permissões superiores no sistema. O feito também rendeu US$ 40 mil, enquanto o Windows 10 ainda seria comprometido uma terceira vez durante o evento, também a partir de uma falha semelhante, descoberta pelo Time Viettel, da Alemanha.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Brechas graves também foram encontradas em software de uso popular. O Zoom, com sua multiplicação de usuários durante a pandemia, foi um dos focos, com a dupla de pesquisadores da Computest, Daan Keuper e Thijs Alkemade, recebendo US$ 200 mil por uma série de falhas que, quando combinadas, permitiam executar códigos maliciosos no software de vídeo conferência.

O Google Chrome também foi assunto de um prêmio dos grandes, com US$ 100 mil concedidos aos especialistas Bruno Keith e Niklas Baumstark, da Data flow Security. Eles foram capazes de encontrar uma falha que atinge não apenas o browser, mas também o Edge, da Microsoft, e outras opções baseadas no Chromium, que permitia executar códigos após problemas no tratamento de valores pelo sistema.

Softwares de virtualização como o Parallels também foram explorados, com a descoberta de brechas no valor de US$ 40 mil, enquanto uma intrusão no sistema operacional Ubuntu Desktop rendeu US$ 30 mil ao pesquisador responsável. No total, de acordo com a organização, foram mais de US$ 1 milhão em prêmios concedidos ao longo dos três dias de evento, um recorde para o Pwn2Own, que nesta edição, realizada na cidade americana de Austin, contou com 23 times de pesquisadores e 10 produtos de diferentes setores.

Uma nota estranha, porém, aparece entre a distribuição de prêmios. O pote, ainda que recordista, poderia ter sido ainda maior, já que, além do dinheiro, a organização pretendia presentear com um Tesla Model 3 o time que descobrisse falhas críticas nos sistemas dos carros da montadora. Entretanto, nenhuma das equipes se registrou para fazer isso.

Os detalhes das brechas não são revelados ao público, de forma que não acabem caindo nas mãos de indivíduos maliciosos. Agora, as responsáveis pelos softwares comprometidos têm 90 dias para aplicar atualizações a seus produtos antes que as demonstrações sejam apresentadas na íntegra.

Fonte: Bleeping Computer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.