Pesquisadores faturam mais de US$ 1 milhão em competição da Zero Day Initiative da Trend Micro

São Paulo, abril de 2024 – O Pwn2Own Vancouver 2024, promovido no final de março pelo Zero Day Initiative (ZDI) da Trend Micro, líder global de segurança cibernética, rendeu aos pesquisadores participantes US$ 1.132.500,00. Ao todo, foram demonstradas 29 vulnerabilidades de dia zero em sistemas operacionais Windows, Linux, Tesla, Chrome, VMWare e outros amplamente utilizados ao redor do mundo.

O maior prêmio, de US$ 200 mil, foi para a equipe de pesquisadores que conseguiu explorar a vulnerabilidade de um Tesla Model3, acessando a ECU (unidade de controle eletrônico) do veículo por meio de uma exploração OTA (Over The Air). Outra recompensa significativa envolveu uma vulnerabilidade guest-to-host escape no host do VMware Workstation e execução arbitrária de código com privilégios de sistema no host Windows.

Um dos grandes desafios para as organizações na gestão do risco cibernético é lidar com o volume de ameaças emergentes contra os recursos de segurança disponíveis. As empresas de software e os fabricantes de veículos elétricos (VE) devem fazer uma triagem e priorizar as vulnerabilidades que precisam ser corrigidas.

“Embora todos se preocupem com a segurança de aplicativos do momento como TikTok e ChatGPT, muitas das ameaças mais sérias estão na espinha dorsal dos principais sistemas operacionais usados por bilhões de pessoas em todo o mundo”, destaca Dustin Childs, chefe de Conscientização de Ameaças do Zero Day Initiative. “Os participantes do Pwn2Own têm a missão de encontrar essas explorações antes dos invasores e compartilhá-las com a Trend e o ZDI. Este é um recurso que ninguém mais possui e por isso um diferencial significativo da equipe de Inteligência e Prevenção de Ameaças da Trend", acrescenta.

Enquanto o tempo médio da indústria para responder e proteger contra vulnerabilidades ultrapassa 70 dias, até o lançamento de patches, a pesquisa do ZDI proporciona aos clientes da Trend Micro proteção quase que imediata contra as novas explorações, graças ao trabalho da equipe de Inteligência de Ameaças, que atua para garantir que não haja falhas na proteção. Anualmente, mais de 1 mil vulnerabilidades são reveladas.

As divulgações feitas ao ZDI por pesquisadores da Pwn2Own e de forma independente durante todo o ano permitem que os desenvolvedores de software aprendam sobre as vulnerabilidades antes que os cibercriminosos as encontrem. Mas apesar de isso beneficiar as empresas e toda a infraestrutura de tecnologia, a pesquisa do ZDI mostra que os fornecedores estão cada vez mais negligenciando a resposta às divulgações em tempo hábil.

"As ameaças cibernéticas continuam se proliferando enquanto os patches de software seguem em ritmo lento, deixando as organizações expostas a riscos extras, fora de controle. Fornecedores de segurança que podem detectar vulnerabilidades antecipadamente e preencher essa lacuna crítica com patches virtuais estão fornecendo um valor adicional significativo aos seus clientes", comenta Frank Dickson, vice-presidente de Segurança e Confiança da IDC, consultoria líder para o mercado de tecnologia.

A Pwn2Own paga recompensas aos pesquisadores pela descoberta e divulgação responsável de vulnerabilidades em software e hardware dos quais bilhões de pessoas dependem diariamente. Esta pesquisa melhora a inteligência de ameaças da Trend Micro e revela novas técnicas de exploração de software. O concurso também impulsiona a indústria na luta contra o crime cibernético.