Hackers exploram falhas zero-day no VMware ESXi e Microsoft SharePoint durante o Pwn2Own Berlin 2025

Na segunda jornada do Pwn2Own Berlin 2025, hackers participantes do renomado concurso de segurança faturaram US$ 435 mil ao explorar falhas do tipo zero-day em diversos produtos amplamente utilizados no mercado corporativo. Entre os sistemas comprometidos estão Microsoft SharePoint, VMware ESXi, Oracle VirtualBox, Red Hat Enterprise Linux e o navegador Mozilla Firefox.

O destaque do dia foi a façanha de Nguyen Hoang Thach, da STARLabs SG, que recebeu US$ 150 mil por uma exploração baseada em integer overflow no VMware ESXi. Outro grande feito foi realizado por Dinh Ho Anh Khoa, da Viettel Cyber Security, que obteve US$ 100 mil ao invadir o Microsoft SharePoint com uma cadeia de exploração que combinava uma falha de autenticação com uma deserialização insegura.

Também se destacaram os pesquisadores Edouard Bochin e Tao Yan, da Palo Alto Networks, com uma vulnerabilidade de out-of-bounds write no Mozilla Firefox. Gerrard Tai, da STARLabs SG, conseguiu escalar privilégios até o nível root no Red Hat Enterprise Linux explorando uma falha de use-after-free. Já outro grupo da Viettel utilizou mais uma falha de escrita fora dos limites de memória para realizar um escape do convidado para o host no Oracle VirtualBox.

Na recém-criada categoria de Inteligência Artificial, os pesquisadores da Wiz Research exploraram uma falha use-after-free no Redis, enquanto a Qrious Secure encadeou quatro vulnerabilidades distintas para comprometer o servidor de inferência Triton, da Nvidia.

No primeiro dia do evento, já haviam sido distribuídos US$ 260 mil em prêmios após invasões bem-sucedidas em sistemas como Windows 11, Red Hat Linux e Oracle VirtualBox. Com isso, o total acumulado nos dois primeiros dias chegou a US$ 695 mil, com a demonstração de 20 falhas zero-day únicas.

O Pwn2Own Berlin 2025, realizado durante a conferência OffensiveCon entre os dias 15 e 17 de maio, tem foco em tecnologias corporativas e, pela primeira vez, conta com uma categoria exclusiva para IA. Ao longo do evento, os pesquisadores podem conquistar mais de US$ 1 milhão em recompensas ao demonstrar falhas inéditas em produtos atualizados das categorias de IA, navegadores, virtualização, escalonamento de privilégios, servidores, aplicações empresariais, ambientes cloud-native e automotivo.

Apesar da presença de unidades dos modelos Tesla Model Y 2025 e Model 3 2024 como alvos, nenhum ataque contra os veículos foi registrado até o início do evento. No último dia da competição, os hackers irão tentar comprometer sistemas como Windows 11, Oracle VirtualBox, VMware ESXi, VMware Workstation, Mozilla Firefox, além dos componentes de IA da Nvidia, incluindo o Triton Inference Server e o Container Toolkit.

Após a divulgação das falhas durante o Pwn2Own, os fornecedores têm 90 dias para corrigir os problemas antes que a Zero Day Initiative, da Trend Micro, torne os detalhes técnicos públicos.

Via - BC