Categorias

Pesquisadores de segurança quebram limites de máquina virtual e afetam o Windows

Durante anos, pesquisadores de segurança usaram máquinas virtuais para testar e estudar malwares com a devida proteção. A partir de agora, nada mais será como antes.

A equipe do 360 Security (@mj0011sec) usou o palco da décima edição do evento Pwn2Own, organizado pela Trend Micro, para provar que é possível romper os limites de uma máquina virtual e infectar o sistema principal.

Em apenas 90 segundos de ação na última sexta-feira, diante dos olhos dos juízes, os especialistas conseguiram o que é chamado de fuga total de uma máquina virtual. Através de uma vulnerabilidade até então desconhecida do navegador Edge, eles exploraram um bug no kernel do Windows e um buffer não-inicializado no VMware Workstation para escaparem do ambiente aparentemente controlado. As três falhas de segurança apontadas renderam ao time um prêmio acumulado de US$105.000, conforme as regras da competição.

Além da façanha inédita, o Pwn2Own também testemunhou uma outra vulnerabilidade descoberta no Edge, uma falha de segurança no Ubuntu 16.10 Linux e uma brecha no Safari que poderia ser utilizada para assumir controle total do MacOS do MacBook Pro, com direito até a mensagem do hacker na Touch Bar. De acordo com a Trend Micro, essa décima edição apresentou um número recorde de descobertas, com 51 bugs encontrados e US$833.000 distribuídos como recompensas para os participantes.