Dos investigadores de seguridad ganaron un premio de $ 200,000 en el segundo día de la competencia Pwn2Own 2021, con un exploit para las fallas de Zoom que permitieron la ejecución remota de código. Los fallos y la prueba de concepto fueron demostrados por Daan Keuper y Thijs Alkemade, ambos de la empresa Computest. El acceso involucra tres vulnerabilidades y funciona en las últimas versiones de Windows 10 y Zoom. En la demostración de Pwn2Own, la víctima falsa vio una invitación a una reunión del atacante y no tuvo que hacer clic en nada para activar la ejecución del código.
En el primer día de la competencia, los participantes ganaron $ 570,000, incluidos $ 440,000 por exploits dirigidos a productos de Microsoft (Teams, Exchange y Windows). Según Zero Day Initiative (ZDI), iniciativa de Trend Micro que organiza el concurso, es la primera vez que se paga más de un millón de dólares en Pwn2Own. Los investigadores Bruno Keith y Niklas Baumstark, miembro de Dataflow Security, recibieron US $ 100.000 en el segundo día de la competencia, por explotar fallas en los navegadores Chrome y Microsoft Edge.
El primer día, los intentos de piratear la máquina virtual Parallels fallaron, pero el segundo día, el investigador Jack Dates, de RET2 Systems, y también Sunjoo Park, ganaron $ 40,000 cada uno por poder ejecutar código en el sistema operativo subyacente a través del Aplicación Parallels Desktop.
También ha habido dos intentos exitosos de escalar los privilegios en Windows 10 y una explotación exitosa de la escalada de privilegios en Ubuntu. Estos participantes ganaron $ 40,000 y $ 30,000, respectivamente.
Con agencias de noticias internacionales
Fuente: https://www.cisoadvisor.com.br/disputa-no-pwn2own-2021-mostra-falhas-no-zoom-teams-exchange/?rand=59052
