Na competição de hacking Pwn2Own, que está acontecendo em Vancouver, no Canadá, dois hackers conseguiram expor vulnerabilidades do Zoom, mostrando falhas de segurança na ferramenta de webconferências. Os dois holandeses acabaram ganhando um prêmio de US$ 200 mil pelo feito, ou seja, vão dividir mais de R$ 1,1 milhão.

A Zero Day Initiative, responsável pelo evento que desafia os hackers a encontrarem novas vulnerabilidades sérias em softwares e dispositivos móveis comumente usados, postou no Twitter um gif mostrando o bug em ação.

We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW

— Zero Day Initiative (@thezdi) April 7, 2021

É possível ver na postagem que o invasor abre a calculadora no sistema que está executando o Zoom. O Calc.exe costuma ser usado como o programa que os hackers abrem em um sistema remoto para mostrar que podem executar códigos na máquina afetada.

A falha de execução remota de código (RCE) permitiu que o “agente malicioso” executasse uma codificação remotamente por meio do Zoom, tanto na versão para Windows, como na versão para Mac. Não foram examinados o app da ferramenta para Android nem o app para iOS – mas, obviamente, a falha significa que parceiros de conversa pelos apps em celular podem ser comprometidos.

Os detalhes dos procedimentos realizados por Keuper e Alkemade, os dois especialistas que expuseram a falha de segurança do Zoom, foram mantidos em sigilo. Essas informações permanecerão sem serem expostas por 90 dias, que é o tempo dado para o Zoom lançar um patch de segurança focado na vulnerabilidade encontrada. Após esse prazo, os detalhes dos procedimentos devem ser divulgados.

Evento focou em ferramentas de home-office

Na edição de 2021, o Pwn2Own se concentrou em softwares e dispositivos usados ​​para trabalhar em casa, incluindo, além do Zoom, o Microsoft Teams. O evento, que apresenta uma temática atualizada conforme é realizado, chegou em seu 14º ano em um formato remoto, por causa da pandemia, e voltado para o contexto atual. De acordo com a publicação da iniciativa, “À medida que a força de trabalho sai do escritório e se distancia, as ferramentas necessárias para dar suporte a essa mudança se tornam alvos maiores”.

As empresas interessadas oferecem seus softwares e dispositivos voluntariamente, além de uma recompensa para os hackers que realizam ataques bem-sucedidos. Enquanto os especialistas são premiados e levam para casa enormes quantias em dinheiro, as empresas ficam conhecendo vulnerabilidades que não haviam sido constatadas anteriormente. Assim, evitam que essas falhas sejam vendidas e usadas por criminosos.

Hackers tiveram controle quase completo sobre o computador

Os hackers que participam da competição são white hats (chapéus brancos), pessoas que agem de forma ética especializadas em testes de penetração e em outras metodologias afins. São elas que garantem, por exemplo, a segurança dos sistemas de informação de grandes organizações.

Keuper e Alkemade, os white hats que encontraram as falhas de segurança do Zoom, são funcionários da empresa de segurança cibernética Computest. Eles combinaram três vulnerabilidades para assumirem o controle de um sistema remoto na quarta-feira (07/04), segundo dia do evento Pwn2Own. As vulnerabilidades não precisaram de nenhuma interação da vítima, nem com um clique ou com ela explorando um arquivo anexo. Os hackers só precisaram estar em uma chamada pelo Zoom.

Segundo Keuper, a exploração realizada permitiu expor que os invasores podem controlar todo o sistema, algo muito delicado para a segurança da ferramenta de webconferência. A dupla holandesa conseguiu ter controle quase completo sobre o computador remoto, demonstrando isso com várias ações, como alternar a webcam e o microfone, olhar para a área de trabalho, ler e-mails e baixar o histórico do navegador da vítima.

Ainda nesta edição da Pwn2Own, um outro hacker ético invadiu o Microsoft Teams e, assim como Keuper e Alkemade, explorou uma combinação de vulnerabilidades para executar um código arbitrário. O white hat responsável também ganhou US$ 200 mil como recompensa por expor o bug da Microsoft.

Via MalwareBytes e TechRadar

Imagem: hapabapa/iStock