Il concorso Pwn2Own 2021 iniziato questa settimana ha già visto vincere diversi premi a ricercatori di sicurezza che hanno scoperto vulnerabilità su piattaforme come Windows e macOS.
L’evento di quest’anno è esclusivamente virtuale causa COVID-19, ma ha già visto 23 tentativi di hacking separati su 10 prodotti diversi, inclusi browser web, server e sistemi operativi. Non ci sono particolari criticità per i prodotti Apple, fatta eccezione per un exploit zero-day trovato da Jack Dates di RET2 Systems su Safari.
Grazie a questo exploit, il ricercatore ha vinto un premio in denaro di 100.000 dollari. Dates ha usato un integer overflow in Safari e una scrittura OOB per eseguire il codice a livello di kernel, come mostrato nel tweet in basso:
Congratulations Jack! Landing a 1-click Apple Safari to Kernel Zero-day at #Pwn2Own 2021 on behalf of RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
— RET2 Systems (@ret2systems) April 6, 2021
Altri tentativi di hacking durante l’evento Pwn2Own hanno preso di mira Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome e Microsoft Edge.
Un grave difetto di Zoom è stato scovato dai ricercatori olandesi Daan Keuper e Thijs Alkemade. Il duo ha sfruttato tre bug per ottenere il controllo totale di un PC di destinazione utilizzando l’app Zoom senza interazione da parte dell’utente. I partecipanti a Pwn2Own hanno già ricevuto più di 1,2 milioni di dollari di premi per i bug che hanno scoperto.
Pwn2Own offre alle aziende come Apple 90 giorni per rilasciare una correzione per le vulnerabilità scoperte prima della condivisione di tutti i dettagli, quindi possiamo aspettarci che il bug venga risolto in un prossimo aggiornamento di macOS.