Menu
in

Microsoft Teams y Zoom hackeados durante la competición Pwn2Own

Las dos populares plataformas de videollamadas fueron hackeadas durante el concurso anual Pwn2Own, que ofrece $1 millón.

Tanto Microsoft Teams como Zoom fueron hackeados durante el Pwn2Own anual. Los ciberataques, ganó a sus competidores $400,000 en una competición que distribuyó más de $1 millón en premios, muestran que se pueden utilizar plataformas de videoconferencia para tomar el control del PC de un usuario.

Zoom y Microsoft Teams

El ataque a zoom y Microsoft Teams fue particularmente notable, ya que no requirió que la víctima hiciera clic en nada y permitió a los piratas informáticos escribir su software en el ordenador objetivo. Si hubieran sido hackers maliciosos, podrían haber insertado malware para espiar en un sistema, pero simplemente lanzaron una calculadora; una prueba clásica de un ataque exitoso.

La hazaña fue obra de Daan Keuper y Thijs Alkemade de Computest, una empresa de pruebas de seguridad con sede en los Países Bajos, que «utilizó una cadena de tres errores para aprovechar Zoom Messenger y ejecutar el código en el sistema de destino, todo sin que el usuario haga clic en nada», dijo la iniciativa ZDI, una organización Trend Micro que gestiona Pwn2Own.

El ataque

Según ZDI, un hacker llamado OV ganó $200,000 cuando «combinó un par de errores para probar que el código se estaba ejecutando en Microsoft Teams».

Muchas otras tecnologías de Microsoft han sido hackeadas como parte de la competencia, incluyendo Windows 10 y Exchange. El llamado equipo DEVCORE encontró un error bypass in autenticación y un defecto que le permitió tomar el control total sobre un servidor de Exchange.

Dada la reciente ola de ataques contra decenas de miles de servidores de Exchange, presumiblemente llevados a cabo por China, esta mayor necesidad es garantizar la seguridad de Microsoft.

Los detalles no surgirán hasta que se hayan corregido las vulnerabilidades. Ni Microsoft ni Zoom respondieron a las solicitudes hasta después de la publicación, aunque es casi seguro que ahora están trabajando en correcciones, ya que los competidores deben revelar las vulnerabilidades que han encontrado a los proveedores.

No sólo equipos y zoom

La iniciativa ZDI dijo que había logrado un récord de más de $1 millón en premios para la competencia Pwn2Own de este año. En el último día de la competición, intenta aprovechar las debilidades de Exchange, Windows 10; el sistema operativo Ubuntu y el software de escritorio virtual Parallels.

Deja una respuesta