Uma prévia da futura proteção contra ameaças descobertas no Pwn2Own 2018

No mês de março tivemos o Dia de São Patrício, mas os competidores do Pwn2Own 2018 vão precisar de mais do que a sorte ao seu lado. Eles vão precisar mergulhar em suas habilidades específicas como hackers para ganhar dinheiro e prêmios. Estamos em Vancouver para a competição Pwn2Own e estamos ansiosos para receber a Microsoft como parceira e a VMware como patrocinadora. Neste ano, tivemos sete inscrições de cinco competidores que objetivaram produtos em duas das categorias. Houve outras inscrições, mas os candidatos foram forçados a desistir da competição por diversos motivos.

Temos membros da equipe da Trend Micro Research (que inclui a equipe da Zero Day Initiative) que, como de costume, se reúne com cada um dos competidores e analisa o código e os exploits para fornecer proteção de zero-day para os clientes da Trend Micro. Nunca sabemos o que vai acontecer durante a competição. Mesmo que o Pwn2Own ocorra numa data próxima ou no dia da Terça-feira de Correções da Microsoft, muitos provedores vão fazer questão de emitir correções antes da competição. Portanto, por exemplo, se um competidor estiver trabalhando em uma vulnerabilidade da Microsoft, sua inscrição poderá ser comprometida por causa de uma das atualizações da Microsoft. Alguns dos candidatos que precisaram desistir foram “vítimas” de correções emitidas por provedores. Os competidores que continuam fazendo parte dos jogos têm três tentativas, em um intervalo de 30 minutos, para demonstrar sua exploit.

No fim das contas, o Pwn2Own nos ajuda a tornar o mundo cibernético mais seguro, trabalhando em conjunto com todos os fornecedores afetados para garantir que eles conheçam a vulnerabilidade e que usem as informações necessárias para emitir uma correção. Da nossa parte, vamos proteger nossos clientes até que os fornecedores afetados possam criar e lançar uma correção e até que a manutenção possa ser agendada para que os sistemas afetados sejam corrigidos.

Continue acompanhando este post para ver as novidades sobre nossa futura Vacina Digital para as vulnerabilidades descobertas durante o Pwn2Own 2018! Você também pode acompanhar a competição Pwn2Own minuto a minuto pelo Twitter da Iniciativa Zero-Day:  @thezdi.

As futuras proteções para as vulnerabilidades descobertas no Pwn2Own estão listadas abaixo. Todos os itens listados na coluna Futuras Vacinas Digitais com um asterisco (*) são vulnerabilidades que só podem ser exploradas em nível local.

Este blog será atualizado durante toda a competição. Acompanhe as atualizações mais recentes sobre a futura cobertura de ameaças!

Dia 1: 14 de março de 2018

 

Horário (PDT) Equipe Alvo Bem-sucedido? Futura Vacina Digital?
10h00 Richard Zhu (fluorescence) Apple Safari com sandbox escape Não Sim

ZDI-CAN-5812

ZDI-CAN-5813*

12h00 Richard Zhu (fluorescence) Microsoft Edge com kernel de Escalada de Privilégio do Windows Sim Sim

ZDI-CAN-5814

ZDI-CAN-5815

ZDI-CAN-5816*

14h00 Niklas Baumstark (_niklasb) Oracle VirtualBox  Vitória Parcial  ZDI-CAN-5817*
ZDI-CAN-5818*
16h00 Samuel Groß (saelo) Apple Safari com kernel de Escalada de Privilégio do macOS  Sim  ZDI-CAN-5819

ZDI-CAN-5820*

ZDI-CAN-5821*

 

Dia 2: 15 de março de 2017

Horário (PDT) Equipe Alvo Bem-sucedido? Futura Vacina Digital?
10h00 Richard Zhu (fluorescence) Mozilla Firefox com kernel de Escalada de Privilégio do Windows Sim Sim

ZDI-CAN-5822

ZDI-CAN-5823*

12h00 Markus Gaasedelen, Nick Burnett, Patrick Biernat da Ret2 Systems, Inc. Apple Safari com kernel de Escalada de Privilégio do macOS  Não Acesse o blog da Iniciativa Zero-Day para mais informações
14h00 MWR Labs – Alex Plaskett (AlaxJPlaskett), Georgi Geshev (munmap), Fabi Beterke (pwnfl4k3s) Apple Safari com sandbox escape  Sim  Sim

ZDI-CAN-5827
ZDI-CAN-5828*

Categorias

Veja outras publicações

Menu