Microsoft Teams e Zoom hakerati durante la competizione Pwn2Own da 1 milione di dollari

Le due famose piattaforme per videochiamate sono state hackerate durante la competizione annuale Pwn2Own che mette in palio 1 milione di dollari.

Zoom Microsoft Teams
Gli hackers della competizione Pwn2Own hanno trovato delle falle nel sistema di sicurezza di Zoom e Teams.

Sia Microsoft Teams che Zoom sono stati hackerati durante la competizione annuale Pwn2Own. Gli attacchi informatici, che hanno fatto vincere ai concorrenti $400.000 in una competizione che ha distribuito più di $1 milione in premi, mostrano che è possibile servirsi delle piattaforme di videoconferenza per prendere il controllo del PC di un utente.

L’attacco a Zoom

L’attacco Zoom è stato particolarmente degno di nota in quanto non richiedeva alla vittima di fare clic su nulla e consentiva agli hacker di scrivere il proprio software sul computer di destinazione.

Se fossero stati hacker malevoli, avrebbero potuto inserire un malware per ficcare il naso su un sistema, ma hanno semplicemente lanciato una calcolatrice (una classica prova di un attacco riuscito).

L’exploit è stato opera di Daan Keuper e Thijs Alkemade di Computest, una società di test di sicurezza con sede nei Paesi Bassi, che «ha utilizzato una catena di tre bug per sfruttare Zoom Messenger e ottenere l’esecuzione del codice sul sistema di destinazione, il tutto senza che l’utente facesse clic su nulla», ha affermato la ZDI Initiative, un’organizzazione Trend Micro che gestisce Pwn2Own.

L’attacco a Microsoft Teams

Secondo ZDI, un hacker di nome OV ha vinto $ 200.000 quando ha «combinato un paio di bug per dimostrare l’esecuzione del codice su Microsoft Teams».

Molte altre tecnologie Microsoft sono state violate nell’ambito della competizione, inclusi Windows 10 ed Exchange. Il cosiddetto team DEVCORE ha trovato un bypass bug nell’autenticazione e un difetto che gli ha permesso di assumere il controllo completo su un server Exchange.

Data la recente ondata di attacchi a decine di migliaia di server Exchange, presumibilmente effettuati dalla Cina, c’è maggior bisogno di garantire la sicurezza della tecnologia di posta elettronica di Microsoft.

I dettagli non emergeranno fino a quando le vulnerabilità non saranno state corrette. Né Microsoft né Zoom hanno risposto alle richieste fino a dopo la pubblicazione, anche se è quasi certo che ora stiano lavorando sulle correzioni, dato che i concorrenti devono rivelare le vulnerabilità che hanno trovato ai fornitori.

Non solo Teams e Zoom

L’iniziativa ZDI ha dichiarato di aver raggiunto un record di oltre 1 milione di dollari in premi per il concorso Pwn2Own di quest’anno. Nell’ultima giornata del concorso si cerca di sfruttare i punti deboli in Exchange, Windows 10, il sistema operativo Ubuntu e il software desktop virtuale Parallels.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

What do you think?

Scritto da Redazione Think

asilo nido privato

Come aprire un asilo nido privato: i passaggi da seguire e i requisiti necessari

Twitter Clubhouse

Twitter: trattative da 4 miliardi di dollari per acquisire Clubhouse