Y esto fue lo que se vivió en el Pwn2Own 2021

Hace poco se dieron a conocer los resultados de los tres días de la competición Pwn2Own 2021, que se celebra anualmente como parte de la conferencia CanSecWest.

Como en el año anterior, los concursos se realizaron de forma virtual y los ataques se demostraron online. De los 23 objetivos, se han demostrado técnicas operativas para explotar vulnerabilidades previamente desconocidas para Ubuntu, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams y Zoom.

En todos los casos, se probaron las últimas versiones de software, incluidas todas las actualizaciones disponibles. El monto total de los pagos ascendió a un millón doscientos mil dólares estadounidenses.

En la competencia, se realizaron tres intentos para explotar vulnerabilidades en Ubuntu de las cuales se contaron el primer y segundo intento y los atacantes pudieron demostrar la escalada de privilegios locales a través de la explotación de vulnerabilidades previamente desconocidas relacionadas con desbordamientos de búfer y doble liberación de memoria (en los cuales los componentes del problema aún no se han informado y se les da a los desarrolladores 90 días para corregir errores hasta que se divulguen los datos).

De estas vulnerabilidades que se demostraron para Ubuntu, se pagaron bonificaciones de $ 30,000.

El tercer intento, realizado por otro equipo en la categoría de abuso de privilegios locales, fue solo parcialmente exitoso: el exploit funcionó y permitió obtener acceso a la raíz, pero el ataque no fue completamente acreditado, ya que el error asociado con la vulnerabilidad ya estaba catalogada y era conocida por los desarrolladores de Ubuntu y se estaba preparando una actualización con una solución.

También se ha demostrado un ataque exitoso para los navegadores con tecnología Chromium: Google Chrome y Microsoft Edge, de estos se pagó un bono de $ 100,000 por crear un exploit que permite ejecutar código cuando abre una página especialmente diseñada en Chrome y Edge (se creó un exploit universal para los dos navegadores).

En el caso de esta vulnerabilidad se menciona que está previsto que la corrección se publique en las próximas horas, mientras que solo se sabe que la vulnerabilidad está presente en el proceso es responsable de procesar el contenido web (renderizador).

Por otra parte, fueron pagados 200 mil dólares en Zoom y se demostró que se puede hackear la aplicación Zoom al ejecutar un código enviando un mensaje a otro usuario, sin necesidad de ninguna acción por parte del destinatario. El ataque utilizó tres vulnerabilidades en Zoom y una en el sistema operativo Windows.

También se dio una bonificación de $ 40,000 por tres operaciones exitosas de Windows 10 en las cuales se demostraron vulnerabilidades relacionadas con el desbordamiento de enteros, acceso a memoria ya liberada y condiciones de carrera que permitieron obtener privilegios del SISTEMA).

Otro de los intentos que se demostró, pero que en este caso no tuvo éxito fue para VirtualBox, el cual quedo dentro de las recompensas junto con Firefox, VMware ESXi, cliente Hyper-V, MS Office 365, MS SharePoint, MS RDP y Adobe Reader que permanecieron sin reclamar.

Tampoco hubo personas dispuestas a demostrar el hackeo del sistema de información del auto Tesla, a pesar del premio de 600 mil dólares más el auto Tesla Model 3.

De los demás premios que fueron otorgados:

  • 200 mil dólares por descifrar Microsoft Exchange (omitiendo la autenticación y la escalada de privilegios locales en el servidor para obtener derechos de administrador). A otro equipo se le mostró otro exploit exitoso, pero el segundo premio no se pagó, ya que el primer equipo ya utilizó los mismos errores.
  • 200 mil dólares en el hackeo de equipos de Microsoft (ejecución de código en el servidor).
  • 100 mil dólarespara la operación de Apple Safari (desbordamiento de enteros en Safari y desbordamiento de búfer en el kernel de macOS para evitar el sandbox y ejecutar código a nivel del kernel).
  • 140,000 por hackear Parallels Desktop (cerrar sesión en la máquina virtual y ejecutar el código en el sistema principal). El ataque se llevó a cabo mediante la explotación de tres vulnerabilidades diferentes: pérdida de memoria no inicializada, desbordamiento de pila y desbordamiento de enteros.
  • Dos premios de $ 40 mil dólares por hacks de Parallels Desktop (error lógico y desbordamiento del búfer que permitió que el código se ejecutara en un sistema operativo externo a través de acciones dentro de una máquina virtual).

El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada.

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

bool(true)