Noticias

Pwn2Own 2021: no hay ningún software que resista al hackeo

Pwn2Own 2021 ha sido la nueva edición del concurso de hacking más importante del mundo. Se celebra anualmente y un año más ha otorgado grandes premios ya que no hay ningún software que haya resistido.

El objetivo del Pwn2Own 2019 sigue siendo el mismo establecido desde su creación. Encontrar vulnerabilidades críticas en un entorno controlado para que los proveedores mejoren la seguridad de sus desarrollos antes que puedan ser explotadas. Los participantes se comprometen a entregar toda la investigación privadamente y no hacerla pública en un periodo mínimo de 90 días.

A cambio, las firmas entregan suculentos premios. Una buena inversión teniendo en cuenta que este evento cuenta con la participación de los mejores hackers de sobrero blanco del planeta e investigadores de seguridad que se adelantan a lo que pueda llegar del cibercrimen, reforzando la seguridad del software y los dispositivos.

Pwn2Own 2021

El concurso es hoy mucho más que un registro anual sobre el estado de los navegadores web y la seguridad de los sistemas operativos como era en sus inicios. El evento de este año, celebrado de manera virtual y organizado por Zero Day Initiative (ZDI), ha sido uno de los más amplios de la historia de Pwn2Own, con 23 entradas separadas dirigidas a 10 productos diferentes en las categorías de navegadores web, virtualización, servidores, escalamiento local de privilegios, automoción y una categoría novedosa, la de comunicaciones empresariales.

No se ha librado ningún objetivo y los intentos exitosos de hackeo incluyen desde Zoom al Apple Safari, Microsoft Exchange, Chrome y Edge, Teams, Parallels Desktop, Windows 10 y Ubuntu Desktop. El evento de este año ha otorgado 1,2 millones de dólares en premios por 16 exploits de alto perfil.

Pwn2Own 2021

Entre los hackeos destacados podemos señalar:

  • Escalada de privilegios local para hacerse cargo por completo de un servidor de Microsoft Exchange, por lo que el equipo de Devcore obtuvo 200.000 dólares.
  • Encadenando un par de errores para lograr la ejecución de código en Microsoft Teams, un investigador recibió otros 200.000 dólares.
  • Un exploit 0-Day contra Zoom empleó una cadena de tres errores para explotar la aplicación de mensajería y obtener la ejecución del código en el sistema de destino obteniendo 200.000 dólares.
  • La explotación de una falla de desbordamiento de enteros en Safari y una escritura fuera de límites para obtener la ejecución de código a nivel de kernel recibió un premio de 100.000 dólares.
  • Un exploit dirigido al renderizador de Chromium logró piratear los navegadores Google Chrome y Microsoft Edge en él basado, con precios de 100.000 dólares.
  • Aprovechando los errores de desbordamiento de enteros en Windows 10, varios investigadores pudieron escalar desde un usuario normal a privilegios administrativos logrando 40.000 dólares.
  • Combinando tres fallos (una pérdida de memoria no inicializada, un desbordamiento de pila y un desbordamiento de enteros), hackearon el virtualizador Parallels Desktop para ejecutar código en el sistema operativo subyacente, obteniendo 40.000 dólares.
  • Aprovechando un error de corrupción de memoria para ejecutar con éxito código en el sistema operativo host desde Parallels Desktop logrando la misma cantidad que el anterior.
  • Una explotación de una vulnerabilidad de acceso fuera de los límites logró que un usuario estándar obtuviera privilegios de root en Ubuntu Desktop y conseguir 30.000 dólares.

Además de los anteriores objetivos, Tesla había propuesto un automóvil Model 3, pero ningún equipo ha participado. La categoría de la automoción fue estrenada en 2019 y un investigador ya ganó un Tesla 3 al conseguir hackearlo.

Destacar las vulnerabilidades de Zoom explotadas, ya que no requieren ninguna interacción de la víctima más que participar en una llamada de Zoom. Afecta a las versiones de la aplicación para Windows y Mac, aunque no está claro si las versiones de Android e iOS también son vulnerables.

Como todo el resto y después de que las vulnerabilidades se explotan y divulgan de manera controlada en Pwn2Own 2021, los proveedores de software y hardware tienen 90 días para publicar las correcciones de seguridad correspondientes de todas las vulnerabilidades informadas. Te dejamos el vídeo completo de una conferencia muy interesante para la industria tecnológica.

La entrada Pwn2Own 2021: no hay ningún software que resista al hackeo es original de MuySeguridad. Seguridad informática.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.