Um profissional da área de segurança da informação ganhou US$ 70.000 por hacker o Microsoft Edge. O feito foi realidade no primeiro dia do Pwn2Own 2018.
Pwn2Own é uma competição anual de hackers que acontece desde 2007. Durante a conferência os participantes são desafiados a explorar amplamente softwares e dispositivos diversos com vulnerabilidades previamente desconhecidas. Os vencedores do concurso recebem o dispositivo ou o software que eles exploraram, um prêmio em dinheiro e uma jaqueta de “Masters”, comemorando o ano da sua vitória. O concurso serve para demonstrar a vulnerabilidade dos dispositivos e softwares de uso generalizado, proporcionando também um posto de controle sobre os progressos realizados em matéria de segurança desde o ano anterior.
Empresas como Microsoft, Google, Apple e muitas outras estão sempre de olho nos resultados de eventos como esse, pois, falhas encontradas pelos hackers profissionais são analisadas e corrigidas por meio de patches de segurança ou até mesmo com ajustes em projetos inteiros, se for um caso de um hardware.
Neste ano, a falha explorado no Microsoft Edge teve como ponto de partida dois bugs use-after-free do kernel e do navegador. Diante disso, o hacker apelidado de Fluorescence (nome real: Richard Zhu) rodou seu código malicioso com privilégios de administrador. Segundo o ZDI, isso rendeu a Zhu a premiação de US$ 70 mil e sete pontos de Master of Pwn. Outros browser também passaram pelo mesmo processo, como o Safari da Apple, que também teve falhas exploradas com sucesso.
Agora, fica a cargo da Microsoft “fechar” essa brecha descoberta pelo profissional. Vendo por esse lado é muito bom que eventos como esse aconteçam, afinal, é muito melhor que profissionais descubram a vulnerabilidade em um evento público do que um grupo de hackers maliciosos descubram a mesma falha e a explorem sem sequer a empresa dona do software ou hardware ter conhecimento de sua existência. É algo bem interessante como o Project Zero da Google, que proporciona algo semelhante. No final das contas quem mais ganha com isso são os usuários, porém, as empresas também saem ganhando, pois, o que é 70.000 dólares para uma empresa em comparação a centenas ou milhares de processos por questões de violação de dados?
Fonte: thezdi
Comentários