La edición de primavera de 2021 del concurso de piratería Pwn2Own (organizado por Zero Day Initiative) concluyó la semana pasada.
En total, se alcanzó la cifra de 1.2 millones de dólares, gracias a las múltiples fallas de seguridad encontradas en algunos de los software más importantes y usados del mundo.
Los diferentes equipos de hackers, lograron crear 16 exploits de alto perfil, capaces de introducir código o mostrar las debilidades de importantes programas.
Los programas que se han visto vulnerados durante este Pwn20wn son: Windows, Ubuntu, Zoom, Microsoft Teams, Safari, Parallels Desktop y Microsoft Exchange.
Acciones realizadas contra el software
Los participantes fueron capaces de crear exploit que encontraron vulnerabilidades gracias a:
- El uso de un desvío de autenticación y una escalada de privilegios local capaz de hacerse cargo por completo de un servidor con Microsoft Exchange instalado (ganador de 200.000 dólares).
- Encadenando un par de errores, lograr la ejecución de código en Microsoft Teams (por lo que el investigador OV ganó 200.000 dólares).
- El uso de un exploit de cero clic dirigido a Zoom capaz encadenar tres errores que explotan la aplicación de mensajería y logra ejecutar código en el sistema de destino (200.000 dólares).
- La explotación de una falla de desbordamiento en el navegador Safari para obtener la ejecución de código a nivel de kernel (100.000 dólares).
- Un exploit dirigido al renderizador de Chrome capaz de piratear los navegadores Google Chrome y Microsoft Edge (Chromium) (100.000 dólares).
- El aprovechamiento de errores en Windows 10 para escalar de un usuario normal hasta alcanzar los privilegios del SISTEMA (40.000 dólares).
- Combinar tres fallas (una pérdida de memoria no inicializada, un desbordamiento de pila y un desbordamiento de enteros) para escapar de Parallels Desktop y ejecutar código en el sistema operativo remoto (40.000 dólares).
- Aprovechar un error de corrupción de memoria para ejecutar con éxito código en el sistema operativo host desde Parallels Desktop (40.000 dólares).
- La explotación del error de acceso fuera de los límites para pasar de un usuario estándar a root en Ubuntu Desktop (30.000 dólares).
La vulnerabilidad de Zoom
Las vulnerabilidades encontradas dentro de Zoom, explotadas por Daan Keuper y Thijs Alkemade de Computest Security, son fallas particularmente destacables puesto que no requieren de ninguna interacción por parte de la víctima.
Los detalles técnicos de las fallas aún no se han revelado, pero en un comunicado que comparte los hallazgos, la firma de seguridad holandesa declaró que:
“Fue capaz de controlar casi todo el sistema de las víctimas y de realizar acciones como encender la cámara, encender el micrófono, leer correos electrónicos, revisar la pantalla y descargar el historial del navegador del usuario remoto”.
Desde Zoom, han declarado que se impulsó un cambio del lado del servidor para corregir los errores. Además, señalan que están trabajando para incorporar nuevas protecciones adicionales.
Ahora, Zoom, tiene una ventana de 90 días en la que poder corregir los problemas encontrados. Antes de que las fallas se hagan públicas.
La hacker Alisa Esage
Por último. La investigador de vulnerabilidades y desarrolladora de exploits independiente: Alisa Esage. Hizo historia en el concurso de Pwn20wn.
Siendo la primera mujer en ganar un premio en el concurso, gracias a lograr encontrar un error en el software de virtualización Parallels.
Aunque finalmente, solo se le otorgó una victoria parcial, puesto que al parecer ya se había informado con anterioridad de la falla.
“Solo puedo aceptarlo como un hecho de que mi participación exitosa en Pwn2Own atrajo el escrutinio de ciertos puntos discutibles y potencialmente desactualizados en las reglas del concurso” , tuiteó Esage y agregó: “En el mundo real no existe tal cosa como un ‘punto discutible’.. Un exploit rompe el sistema objetivo o no”.
Fuente: Zero Day Initiative