No mês de março tivemos o Dia de São Patrício, mas os competidores do Pwn2Own 2018 vão precisar de mais do que a sorte ao seu lado. Eles vão precisar mergulhar em suas habilidades específicas como hackers para ganhar dinheiro e prêmios. Estamos em Vancouver para a competição Pwn2Own e estamos ansiosos para receber a Microsoft como parceira e a VMware como patrocinadora. Neste ano, tivemos sete inscrições de cinco competidores que objetivaram produtos em duas das categorias. Houve outras inscrições, mas os candidatos foram forçados a desistir da competição por diversos motivos.
Temos membros da equipe da Trend Micro Research (que inclui a equipe da Zero Day Initiative) que, como de costume, se reúne com cada um dos competidores e analisa o código e os exploits para fornecer proteção de zero-day para os clientes da Trend Micro. Nunca sabemos o que vai acontecer durante a competição. Mesmo que o Pwn2Own ocorra numa data próxima ou no dia da Terça-feira de Correções da Microsoft, muitos provedores vão fazer questão de emitir correções antes da competição. Portanto, por exemplo, se um competidor estiver trabalhando em uma vulnerabilidade da Microsoft, sua inscrição poderá ser comprometida por causa de uma das atualizações da Microsoft. Alguns dos candidatos que precisaram desistir foram “vítimas” de correções emitidas por provedores. Os competidores que continuam fazendo parte dos jogos têm três tentativas, em um intervalo de 30 minutos, para demonstrar sua exploit.
No fim das contas, o Pwn2Own nos ajuda a tornar o mundo cibernético mais seguro, trabalhando em conjunto com todos os fornecedores afetados para garantir que eles conheçam a vulnerabilidade e que usem as informações necessárias para emitir uma correção. Da nossa parte, vamos proteger nossos clientes até que os fornecedores afetados possam criar e lançar uma correção e até que a manutenção possa ser agendada para que os sistemas afetados sejam corrigidos.
Continue acompanhando este post para ver as novidades sobre nossa futura Vacina Digital para as vulnerabilidades descobertas durante o Pwn2Own 2018! Você também pode acompanhar a competição Pwn2Own minuto a minuto pelo Twitter da Iniciativa Zero-Day: @thezdi.
As futuras proteções para as vulnerabilidades descobertas no Pwn2Own estão listadas abaixo. Todos os itens listados na coluna Futuras Vacinas Digitais com um asterisco (*) são vulnerabilidades que só podem ser exploradas em nível local.
Este blog será atualizado durante toda a competição. Acompanhe as atualizações mais recentes sobre a futura cobertura de ameaças!
Dia 1: 14 de março de 2018
| Horário (PDT) | Equipe | Alvo | Bem-sucedido? | Futura Vacina Digital? |
| 10h00 | Richard Zhu (fluorescence) | Apple Safari com sandbox escape | Não | Sim
ZDI-CAN-5812 ZDI-CAN-5813* |
| 12h00 | Richard Zhu (fluorescence) | Microsoft Edge com kernel de Escalada de Privilégio do Windows | Sim | Sim
ZDI-CAN-5814 ZDI-CAN-5815 ZDI-CAN-5816* |
| 14h00 | Niklas Baumstark (_niklasb) | Oracle VirtualBox | Vitória Parcial | ZDI-CAN-5817* ZDI-CAN-5818* |
| 16h00 | Samuel Groß (saelo) | Apple Safari com kernel de Escalada de Privilégio do macOS | Sim | ZDI-CAN-5819
ZDI-CAN-5820* ZDI-CAN-5821* |
Dia 2: 15 de março de 2017
| Horário (PDT) | Equipe | Alvo | Bem-sucedido? | Futura Vacina Digital? |
| 10h00 | Richard Zhu (fluorescence) | Mozilla Firefox com kernel de Escalada de Privilégio do Windows | Sim | Sim
ZDI-CAN-5822 ZDI-CAN-5823* |
| 12h00 | Markus Gaasedelen, Nick Burnett, Patrick Biernat da Ret2 Systems, Inc. | Apple Safari com kernel de Escalada de Privilégio do macOS | Não | Acesse o blog da Iniciativa Zero-Day para mais informações |
| 14h00 | MWR Labs – Alex Plaskett (AlaxJPlaskett), Georgi Geshev (munmap), Fabi Beterke (pwnfl4k3s) | Apple Safari com sandbox escape | Sim | Sim
ZDI-CAN-5827 |
