Hace poco se dieron a conocer mediante una publicación de blog los resultados de los tres días de la competición Pwn2Own 2022, que se celebra anualmente en el marco de la conferencia CanSecWest.
En la edición de este año se han demostrado técnicas de trabajo para explotar vulnerabilidades previamente desconocidas para Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams y Firefox. En total, se demostraron 25 ataques exitosos y tres intentos terminaron en fracaso. Los ataques utilizaron las últimas versiones estables de aplicaciones, navegadores y sistemas operativos con todas las actualizaciones disponibles y en la configuración predeterminada. El monto total de la remuneración pagada fue de 1.155.000 dólares estadounidenses.
Pwn2Own Vancouver para 2022 está en marcha, y el 15.º aniversario del concurso ya ha visto demostradas algunas investigaciones increíbles. Estén atentos a este blog para obtener resultados actualizados, imágenes y videos del evento. Lo publicaremos todo aquí, incluida la tabla de clasificación Master of Pwn más reciente.
La competencia demostró cinco intentos exitosos de explotar vulnerabilidades previamente desconocidas en Ubuntu Desktop, realizados por diferentes equipos de participantes.
Se otorgó un premio de $40,000 por demostrar la escalada de privilegios locales en Ubuntu Desktop al explotar dos problemas de desbordamiento de búfer y doble liberación. Se pagaron cuatro bonos, con un valor de $40,000 cada uno, por demostrar la escalada de privilegios mediante la explotación de vulnerabilidades relacionadas con el acceso a la memoria después de que se liberara (Use-After-Free).
ÉXITO – Keith Yeo ( @kyeojy ) ganó $40K y 4 puntos Master of Pwn por un exploit Use-After-Free en Ubuntu Desktop.
Qué componentes del problema aún no se informan, de acuerdo con los términos de la competencia, la información detallada sobre todas las vulnerabilidades de 0 días demostradas se publicará solo después de 90 días, que se dan para la preparación de actualizaciones por parte de los fabricantes para eliminar vulnerabilidades.
ÉXITO : en el intento final del día 2, Zhenpeng Lin (@Markak_) , Yueqi Chen (@Lewis_Chen_) y Xinyu Xing (@xingxinyu) del equipo TUTELARY de la Universidad Northwestern demostraron con éxito un error Use After Free que condujo a la elevación de privilegios en Escritorio Ubuntu. Esto le otorga $40,000 y 4 puntos Master of Pwn.
Team Orca of Sea Security (security.sea.com) pudo ejecutar 2 errores en Ubuntu Desktop: una escritura fuera de los límites (OOBW) y Use-After-Free (UAF), ganando $ 40,000 y 4 Master of Puntos Pwn.
ÉXITO : Team Orca of Sea Security ( security.sea.com ) pudo ejecutar 2 errores en Ubuntu Desktop: una escritura fuera de los límites (OOBW) y Use-After-Free (UAF), ganando $ 40,000 y 4 Master of Puntos Pwn.
De los otros ataques que se pudieron realizar con exito, podemos mencionar a los siguientes:
- 100 mil dólares para el desarrollo de un exploit para Firefox, que permitía, al abrir una página especialmente diseñada, sortear el aislamiento del sandbox y ejecutar código en el sistema.
- $ 40,000 por demostrar un exploit que aprovecha un desbordamiento de búfer en Oracle Virtualbox para cerrar la sesión de un invitado.
- $50,000 por operar Apple Safari (desbordamiento de búfer).
- $450,000 para hacks de Microsoft Teams (diferentes equipos demostraron tres hacks con una recompensa de
- $150,000 cada uno).
- $80,000 (dos bonos de $40,000) para aprovechar los desbordamientos de búfer y la escalada de privilegios en Microsoft Windows 11.
- $80,000 (dos bonos de $40,000) para explotar un error en el código de verificación de acceso para elevar sus privilegios en Microsoft Windows 11.
- $40k para explotar el desbordamiento de enteros para elevar sus privilegios en Microsoft Windows 11.
- $40,000 por explotar una vulnerabilidad Use-After-Free en Microsoft Windows 11.
- $ 75,000 por demostrar un ataque al sistema de infoentretenimiento de un automóvil Tesla Model 3. El exploit usó desbordamiento de búfer y errores dobles libres, junto con una técnica de derivación de sandbox previamente conocida.
Por último y no menos importante se menciona que en los dos días de competencia de los fallos que hubo a pesar de los tres intentos de hackeo permitidos, están los siguientes: Microsoft Windows 11 (6 hackeos exitosos y 1 fallido), Tesla (1 hackeo exitoso y 1 fallido) y Microsoft Teams (3 hackeos exitosos y 1 fallido). No hubo solicitudes para demostrar exploits en Google Chrome este año.
Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en la publicación original en el siguiente enlace.