Falhas de dia zero do Windows 11 são demonstradas em hackathon
Por Dácio Castelo Branco | Editado por Claudio Yuge | 23 de Maio de 2022 às 18h20
No terceiro e último dia da edição de 2022 da hackathon Pwn2Own Vancouver, os participantes conseguiram invadir o Windows 11 a partir de vulnerabilidades de dia zero. Ainda no evento, foram demonstrados exploits para o Sistema de Infoentretenimento do Tesla Model 3 e na distribuição Ubuntu Desktop do Linux.
- Falhas de dia zero no Android foram usadas em operações de espionagem
- Procuradoria dos EUA processa Mark Zuckerberg por escândalo Cambridge Analytica
Nas falhas do Windows 11 em especial, os participantes utilizaram vulnerabilidades de dia zero para escalonamento de privilégios no sistema operacional, utilizando táticas e exploits de Improper Access Control e Use-After-Free, que envolvem respectivamente utilizar programas para acessar arquivos não autorizados e erros de alocação de memória.
Cada uma das falhas rendeu US$ 40 mil (R$ 192,3 mil, na conversão atual) para os responsáveis pelas descobertas, totalizando, no terceiro dia do evento, US$ 120 mil (R$ 570 mil) premiados somente para vulnerabilidades de dia zero relacionadas ao Windows 11.
Demais falhas de destaque no evento da Trend Micro
Durante os três dias da edição 2022 do Pwn2Own Vancouver, a Iniciativa de Dia Zero da Trend Micro premiou um total de US$ 1,1 milhão (R$ 5,2 milhões (para os participantes do evento, pela descoberta e demonstração bem sucedida de cerca de 25 falhas de dia zero em diversos sistemas e aplicações diferentes.
Entre as falhas que mais se destacaram, além das três de Windows 11 citadas acima, podemos citar a descoberta e demonstração, no primeiro dia, um erro de validação imprópria de comandos no Mozilla Firefox, que rendeu ao responsável US$ 100 mil (R$ 480,9 mil); uma elevação de privilégio através de falhas Use-After-Free no Ubuntu Desktop, com premiação de US$ 40 mil; e, por fim, uma falha junto de dois bugs conhecidos como Double-Free e OOBW (ainda não detalhados ao público) que permitia a execução de códigos remotos no Sistema de Infoentretenimento do Tesla Model 3.
Para mais informações sobre o evento, o site oficial da Iniciativa Dia Zero da Trend Micro, em inglês, conta com detalhamento de todas as falhas demonstradas durante os três dias.
Fonte: Security Week