La semana pasada finalizo la edición de 2021 de uno de los concursos
más famoso de hacking Pwn20wn, en esta edición se dio el caso que hubo tres
equipos empatados por el primer puesto, el equipo Devcore, OV y un grupo de
investigadores de Computest llamados Daan Keuper y Thijs Alkemade.
Este evento ha sido realizado por la organización Zero Day
Initiative (ZDI), en esta edición se han entregado un total de 1,2 millones de dólares
por 16 exploits de perfil alto.
En el evento se consiguió romper exitosamente los sistemas
operativos de Windows 10 y Ubuntu Desktop, y las aplicaciones Microsoft
Exchange, Microsoft Teams, Apple Safari, Parallels Desktop y Zoom.
De entre todas las
vulnerabilidades que se consiguieron explotar las más notables han sido de
Zoom, los culpables de descubrir estas han sido Daan Keuper y Thijs Alkemade,
estos consiguieron realizar los exploits sin necesidad de la interacción de la
propia víctima más que participar en una llamada de Zoom. Las vulnerabilidades
que explotaron los investigadores fueron para las versiones de la aplicación
tanto de Windows como Mac, aunque no se ha comprobado si existen en las versiones
de Android o iOS.
La compañía indicó que está realizando cambios en el lado
del servidor para corregir estos errores, por el momento Zoom tiene 90 días para
corregir estos errores antes de que se hagan públicos.
Por el momento no se sabe cuáles son estas vulnerabilidades,
aunque los propios investigadores que han realizado estos exploits han
comunicado que consiguieron controlar casi por completo el sistema, llegando a
realizar acciones como encender el micrófono, leer correos electrónicos,
descargar el historial del navegador y revisar la pantalla.
