(https://i.postimg.cc/DfMtSLPb/Pwn2-Own-2021.png) (https://postimages.org/)
Pwn2Own 2021 terminó con los concursantes que ganaron un récord de $ 1,210,000 por exploits y cadenas de exploits demostradas en el transcurso de tres días.
Durante la competencia de piratería de este año, 23 equipos e investigadores de seguridad se enfocaron en múltiples productos en las categorías de navegadores web, virtualización, servidores, escalamiento local de privilegios y comunicaciones empresariales.
El premio acumulado total para Pwn2Own 2021 fue de más de $ 1,500,000 en efectivo e incluyó un Tesla Model 3.
Si bien ningún equipo se inscribió para piratear un automóvil Tesla este año, los concursantes obtuvieron la ejecución de código y los privilegios escalados en sistemas completamente parcheados después de piratear Windows 10, Microsoft Teams, Microsoft Exchange, Ubuntu Desktop, Google Chrome, Microsoft Edge, Safari y Parallels Desktop.
La competencia terminó con un empate entre Team DEVCORE, OV y Daan Keuper y Thijs Alkemade de Computest, cada uno de ellos ganando $ 200,000 y 20 puntos Master of Pwn.
(https://i.postimg.cc/zf8Qsj84/Pwn2-Own-2021-2.png) (https://postimages.org/)
$ 600,000 ganados por tres intentos exitosos
El equipo DEVCORE logró la ejecución remota de código en un servidor de Microsoft Exchange al encadenar una omisión de autenticación y una escalada de privilegios locales el primer día de Pwn2Own 2021.
El investigador de seguridad conocido como OV en línea, demostró la ejecución de código en una máquina que ejecuta Microsoft Teams mediante la combinación de dos errores de seguridad separados.
Por último, pero no menos importante, en el segundo día, Daan Keuper y Thijs Alkemade de Computest obtuvieron la ejecución de código al piratear Zoom Messenger utilizando una cadena de exploits de cero clic que combina tres errores diferentes, una hazaña considerada por muchos como el punto culminante de Pwn2Own 2021.
Los concursantes también piratearon el sistema operativo Windows 10 de Microsoft cuatro veces durante la competencia para escalar a privilegios de SISTEMA de un usuario normal en máquinas completamente parcheadas y demostraron un exploit para un error que Microsoft ya conocía.
También obtuvieron privilegios de root en máquinas de escritorio Ubuntu con parches completos dos veces y demostraron un tercer exploit que abusó de un error ya conocido por el proveedor.
Después de que las vulnerabilidades se explotan y se informan durante Pwn2Own, los proveedores tienen 90 días para desarrollar y lanzar correcciones de seguridad hasta que Zero Day Initiative las divulgue públicamente.
Puede ver las grabaciones de los tres días del concurso Pwn2Own 2021 a continuación.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/researchers-earn-1-2-million-for-exploits-demoed-at-pwn2own-2021/