Perigo a usuários VMWare

Vulnerabilidades da VMWare são encontradas na 10ª edição da Pwn2Own

Sobre o evento

A Pwn2Own é uma competição anual que acontece desde 2007 onde os participantes são desafiados a invadir e explorar vulnerabilidades de softwares, sistemas e dispositivos valendo prêmios sendo os mesmos dinheiro, dispositivos explorados na competição e o título de Master of Pwn. O evento começou bem antes de ataques a sistemas de governos, da explosão de ransmowares, do cloud computing, bitcoin, ou mesmo IoT. O mundo mudou muito desde 2007.

Desde então empresas como Microsoft, VMWare, Apple, Mozilla, Google, dentre outras, tiveram que se atentar às vulnerabilidades de suas ferramentas encontradas durante o evento e melhorar suas técnicas e tecnologias para ficar à frente da competição para se posicionarem como empresas confiáveis e seguras.

Este ano o evento premiou 1 Milhão de dólares divididos em 5 categorias diferentes:
- Virtual Machines Escapes (Guest-to-Host)
- Web Browser and Plugins
- Local Escalation if Privilege
- Enterprise Applications
- Server Side

No começo a competição estava centrada em olhar vulnerabilidades em browsers e sistemas operacionais. Sendo o browser considerado o caminho para cloud, máquinas virtuais são consideradas a espinha dorsal da cloud. A Zero Day Initiative (empresa organizadora do evento) introduziu VMs no ano passado (2016) sendo este ano o foco da competição. Neste ano houveram duas demonstrações de vulnerabilidades com sucesso e pela primeira vez teve sua duração ultrapassando os 2 dias de competição.

Vulnerabilidades encontradas este ano

O foco este ano estava em VMware escapes. Os participantes ganharam mais de 200 mil dólares este ano para explorar situações em códigos que pudessem escapar a virtualização das máquinas da VMware. Os pesquisadores da Qihoo 360 ganharam 105 mil dólares por conseguirem usar o Edge para escapar da virtualização, e a Tencent Security’s Team Sniper receberam 100 mil dólares por uma exploração de uma workstation onde revelaram duas vulnerabilidades.

O destaque foi a rapidez com que patches foram criados e enviados a público dias antes do evento e durante o evento, exemplo do Firefox, onde o time Chaitin Security Research Lab hackeou o browser com um SYSTEM-level escalation causando um integer overflow para "quebrar" o Firefox e uma falha de buffer não inicializado no Windows para escalar os privilégios. O patch CVE-2017-5428 foi publicado logo no dia seguinte.

Os patches CVE-2017-4902, CVE-2017-4903, CVE-2017-4904, CVE-2017-4905 da VMware em resposta às vulnerabilidades encontradas no evento foram lançados ontem dia 28 de Março onde as mesmas foram classificadas pela empresa como "catastróficas".

Mais informações:
https://www.zerodayinitiative.com/blog/2017/3/23/pwn2own-2017-an-event-for-the-ages

Autora: Maira T. de Melo

Conteúdo relacionado: Pequisa PWC 2016 - O cenário mundial da segurança da Informação; Palestra Gamificada para Conscientização em Segurança da Informação; 5 passos eficazes para melhorar a segurança de aplicações; A importância da segurança dos dados em um planeta mais inteligente; Como repensar SEGURANÇA para um novo mundo de TI?