Tianfu Cup 2021: hackean Windows 10, iOS 15, Ubuntu 20, Chrome y otros

La Tianfu Cup 2021 ha sido la cuarta edición del concurso internacional de ciberseguridad que se ha celebrado en la ciudad china de Chengdu. Es la versión china del Pwn2Own y se inició en 2018 a raíz de la regulación gubernamental que prohibía a los investigadores de seguridad del país participar en competiciones internacionales de hacking debido a las preocupaciones de la consabida ‘seguridad nacional’.

El objetivo de la Tianfu Cup 2021 es el mismo que el de eventos de su tipo. Encontrar vulnerabilidades críticas en un entorno controlado para que los proveedores mejoren la seguridad de sus desarrollos antes que puedan ser explotadas. Los participantes se comprometen a entregar toda la investigación privadamente y no hacerla pública en un periodo determinado.

A cambio, las firmas entregan suculentos premios. Una buena inversión teniendo en cuenta que en este tipo de eventos suelen participar los mejores hackers de sombrero blanco del planeta e investigadores de seguridad que se adelantan a lo que pueda llegar del cibercrimen, reforzando la seguridad del software y los dispositivos.

En esta edición se puso a prueba software y hardware de alta popularidad como Google Chrome; Apple Safari en un Macbook Pro; Adobe PDF Reader; Docker CE, Ubuntu 20 / CentOS 8; Microsoft Exchange Server 2019; Windows 10; VMware Workstation; VMware ESXi; Parallels Desktop; QEMU VM; varios smartphones como un iPhone 13 Pro con iOS 15 y otros domésticos con Android y productos de redes como el NAS Synology DS220j o el router ASUS RT-AX56U.

Como sucediera en la última edición del Pwn2Own, casi nada ha resistido los ataques. Con la excepción del Synology DS220j NAS, el teléfono inteligente Xiaomi Mi 11 y un vehículo eléctrico chino sin nombre, todos los demás objetivos fueron hackeados.

El premio gordo de 654.000 dólares se lo llevó la firma Kunlun Lab por demostrar un exploit exitoso y mediante código remoto en iOS 15, aprovechando una vulnerabilidad de la versión móvil del navegador Safari. El equipo PangU fue el siguiente, al recibir un premio de 522.500 dólares por realizar un jailbreak remoto en un iPhone13 Pro con iOS 15. Es el primer hackeo de alto nivel conocido para la nueva generación de móviles de Apple.

Los investigadores de seguridad también pusieron el foco en el navegador Chrome y llegaron a obtener privilegios de nivel de kernel de la versión Windows a través de dos fallos de seguridad.

Los detalles de las vulnerabilidades de la Tianfu Cup 2021 no se han hecho públicos como es norma en este tipo de concursos de hacking que se han convertido en un buen espacio para adelantarse a los fallos de seguridad que potencialmente usarán los ciberdelincuentes. Se espera que las compañías afectadas, todas las grandes de la tecnología mundial, publiquen parches de seguridad para corregirlas.

La entrada Tianfu Cup 2021: hackean Windows 10, iOS 15, Ubuntu 20, Chrome y otros es original de MuySeguridad. Seguridad informática.