La edición de primavera de 2021 del concurso de Hacking Pwn2Own 2021 concluyó la semana pasadacon un empate a tres bandas entre el equipo Devcore, OV y los investigadores de Computest Daan Keuper y Thijs Alkemade.

En el evento virtual de tres días organizado por Zero Day Initiative (ZDI), se otorgaron un total de U$S 1,2 millones por 16 exploits de alto perfil.

Los objetivos con intentos exitosos incluyeron los sistemas operativos Windows 10 y Ubuntu Desktop y las aplicaciones Zoom, Apple Safari, Microsoft Exchange, Microsoft Teams, Parallels Desktop.

Las vulnerabilidades de Zoom explotadas por Daan Keuper y Thijs Alkemade de Computest Security son particularmente notables porque las no requieren ninguna interacción de la víctima más que participar en una llamada de Zoom. Además, afecta a las versiones de la aplicación para Windows y Mac, aunque no está claro si las versiones de Android e iOS también son vulnerables.

Cuando recibió una respuesta, Zoom dijo que impulsó un cambio del lado del servidor para corregir los errores, y señaló que está trabajando para incorporar protecciones adicionales para resolver las deficiencias de seguridad. La compañía tiene una ventana de 90 días para abordar los problemas antes de que se hagan públicos.Los detalles técnicos de las fallas aún no se han revelado, pero en un comunicado que comparte los hallazgos, la firma de seguridad holandesa dijo que “los investigadores pudieron controlar casi por completo el sistema y realizar acciones como encender la cámara, encender el micrófono, leer correos electrónicos, revisar la pantalla y descargar el historial del navegador”.

La investigadora independiente Alisa Esage también hizo historia como la primera mujer en ganar Pwn2Own después de encontrar un error en el software de virtualización Parallels. Pero solo se le otorgó una victoria parcial por razones de que el problema se había informado a ZDI antes del evento.

“Solo puedo aceptarlo como un hecho de que mi participación exitosa en Pwn2Own atrajo el escrutinio de ciertos puntos discutibles y potencialmente desactualizados en las reglas del concurso”, tuiteó Esage, y agregó: “En el mundo real no existe tal cosa como un ‘punto discutible… Un exploit rompe el sistema objetivo o no”.

Fuente: THN