Sia Microsoft Teams che Zoom sono stati hackerati durante la competizione annuale Pwn2Own. Gli attacchi informatici, che hanno fatto vincere ai concorrenti $400.000 in una competizione che ha distribuito più di $1 milione in premi, mostrano che è possibile servirsi delle piattaforme di videoconferenza per prendere il controllo del PC di un utente.
L’attacco a Zoom
L’attacco Zoom è stato particolarmente degno di nota in quanto non richiedeva alla vittima di fare clic su nulla e consentiva agli hacker di scrivere il proprio software sul computer di destinazione.
Se fossero stati hacker malevoli, avrebbero potuto inserire un malware per ficcare il naso su un sistema, ma hanno semplicemente lanciato una calcolatrice (una classica prova di un attacco riuscito).
L’exploit è stato opera di Daan Keuper e Thijs Alkemade di Computest, una società di test di sicurezza con sede nei Paesi Bassi, che «ha utilizzato una catena di tre bug per sfruttare Zoom Messenger e ottenere l’esecuzione del codice sul sistema di destinazione, il tutto senza che l’utente facesse clic su nulla», ha affermato la ZDI Initiative, un’organizzazione Trend Micro che gestisce Pwn2Own.
L’attacco a Microsoft Teams
Secondo ZDI, un hacker di nome OV ha vinto $ 200.000 quando ha «combinato un paio di bug per dimostrare l’esecuzione del codice su Microsoft Teams».
Molte altre tecnologie Microsoft sono state violate nell’ambito della competizione, inclusi Windows 10 ed Exchange. Il cosiddetto team DEVCORE ha trovato un bypass bug nell’autenticazione e un difetto che gli ha permesso di assumere il controllo completo su un server Exchange.
Data la recente ondata di attacchi a decine di migliaia di server Exchange, presumibilmente effettuati dalla Cina, c’è maggior bisogno di garantire la sicurezza della tecnologia di posta elettronica di Microsoft.
I dettagli non emergeranno fino a quando le vulnerabilità non saranno state corrette. Né Microsoft né Zoom hanno risposto alle richieste fino a dopo la pubblicazione, anche se è quasi certo che ora stiano lavorando sulle correzioni, dato che i concorrenti devono rivelare le vulnerabilità che hanno trovato ai fornitori.
Non solo Teams e Zoom
L’iniziativa ZDI ha dichiarato di aver raggiunto un record di oltre 1 milione di dollari in premi per il concorso Pwn2Own di quest’anno. Nell’ultima giornata del concorso si cerca di sfruttare i punti deboli in Exchange, Windows 10, il sistema operativo Ubuntu e il software desktop virtuale Parallels.
With that last award, we’re now at $1,020,000 awarded for the contest with 9 attempts to go. It’s the first time we’ve crossed the million dollar mark at #Pwn2Own. More to come… pic.twitter.com/Ouxe7SdFeP
— Zero Day Initiative (@thezdi) April 7, 2021