Pwn2Own es un concurso de piratería informática que se celebra anualmente en la conferencia de seguridad CanSecWest. Realizado por primera vez en abril de 2007 en Vancouver, el concurso ahora se realiza dos veces al año por su popularidad y como el COVID 19 afecta hasta estos eventos en esta oportunidad se ha hecho de forma remota.

macOS, Windows 10 y Ubuntu fueron algunos de los softwares que cayeron en explotación el día 1 de Pwn2Own 2020. La suma a ganar era una importante cantidad, USD 180.000 por 9 errores en 3 categorías, y los hackers informáticos pudieron derrotar los mecanismos de seguridad en tres de los sistemas operativos de escritorio más populares que existen.

Ataques exitosos

  • El sistema operativo de escritorio de Apple fue atacado a través de una vulnerabilidad en Safari con una escalada de privilegios en el kernel de macOS. Los ganadores fueron Georgia Tech Systems Software & Security Lab, que ganó USD 70.000 por su exitosa explotación, que consistió en seis errores. El equipo también logró deshabilitar la Protección de integridad del sistema en la Mac para mostrar que se adquirió la ejecución del acceso al código a nivel de kernel.
  • Windows 10 fue pirateado por Flourescence, un veterano de Pwn2Own que usó su error de uso después de liberar (UAF) para obtener privilegios de sistema escalados en Windows. Ganó USD 40.000 por esta exitosa hazaña.
  • Ubuntu fue pirateado por el equipo RedRocket CTF, con un exploit de escalada de privilegios locales (LPE). Un error de validación de entrada incorrecta en el núcleo de Ubuntu fue explotado para obtener acceso a la raíz. La hazaña exitosa recibió USD 30.000.
  • En el último desafío del día 1, Fluoroacetate utilizó otro error sin uso en Windows 10 para obtener acceso al sistema desde una cuenta de usuario estándar. Este error fue diferente al utilizado por Flourescence. El fluoroacetato recibió USD 40.000 por la hazaña.
  • El día 2, varios equipos piratearon VirtualBox, Adobe Reader en Windows y VMWare Workstation. Mientras que los equipos detrás de los exploits para VirtualBox y Adobe Reader ganaron USD 40.000 y USD 50.000, respectivamente, el equipo detrás del hack VMWare Workstation no pudo demostrar su exploit en el tiempo asignado. Posteriormente, los organizadores confirmaron que el error era válido.

Todas las compañías detrás de estos sistemas operativos y software recibieron detalles de los exploits para ayudarlos a corregir los errores en futuras actualizaciones. Las empresas tienen 90 días para desarrollar parches de seguridad. Una vez transcurrido este tiempo, los errores se hacen públicos.

Una buena noticia para usuarios móviles, ni Android ni iOS fueron parte de ningún ataque exitoso este año. Sin embargo, como muestran los exploits de Pwn2Own, ninguna plataforma es 100% segura, por lo que se recomienda seguir las mejores prácticas para mantener sus datos seguros.

Deja un comentario