El Pwn2Own 2020 ha sido la edición de este año de un concurso para hackers de esos que les sirve para por lo menos dos cosas: lo primero es llevarse el dinero del premio, y lo segundo es darse a conocer al mundo, lo que les permitiría encontrar un trabajo que en ocasiones puede hacerles terminar en una compañía grande como las que acaban de “reventar”.
macOS, Windows 10 y Ubuntu fueron algunos de los softwares que cayeron en explotación el día 1 de Pwn2Own 2020. Un total de $ 180,000 estaban en juego por 9 errores en 3 categorías, y los piratas informáticos pudieron derrotar los mecanismos de seguridad en tres de los sistemas operativos de escritorio más populares que existen.
Debido al coronavirus, el evento anual Pwn2Own se llevó a cabo virtualmente, en lugar de en Vancouver, Canadá. Los hackers habían preparado las hazañas por adelantado y las enviaron a los organizadores para demostrarlas en una presentación en vivo a todos los participantes.
Ubuntu fue explotado por su kernel en el Pwn2Own 2020
En cuanto a Linux, fue el sistema operativo Ubuntu el que cayó de la mano del equipo RedRocket CTF. Dicho equipo encontro un exploit LPE (Local Privilege Escalation) que les permitió conseguir acceso root. El equipo de hackers se llevó 30.000$ por su gesta. Pero otros equipos se llevaron algo más de dinero por, en teoría, encontrar fallos más importantes o numerosos.
El primer premio se lo llevó el equipo que encontró un exploit en Safari por otro LPE en el kernel de macOS que afectaba a su navegador. El equipo que lo descubrió, Georgia Tech Systems Software & Security Lab, se llevó 70.000$ por su descubrimiento, más que nada porque el exploit consistía en un total de seis bugs. El equipo también consiguió desactivar la SIP (System Integrity Protection) del sistema operativo.
Algo menos ganó el usuario conocido como Fluorescence, un veterano de Pwn2Own que uso su bug UAF (use-after-free) para conseguir privilegios de escalado del sistema en Windows. Fluorescence se llevó 40.000$. Otro software vulnerado durante el certamen fue VirtualBox, Adobe Reader en Windows y VMWare Workstation, aúnque el último no se pudo demostrar y no se llevó ningún premio. Los organizadores sí consiguieron explotar el fallo de VMWare Workstation a posteriori, por lo que por lo menos sí mencionaron al equipo que lo descubrió.
El certamen de este año fue diferente al de años anteriores: se celebró en línea debido al Coronavirus. En cualquier caso, se volvió a demostrar que ningún sistema operativo es seguro como tampoco lo es para nadie salir a la calle en estos momentos. Así que, una vez más, diremos dos cosas: quédate en tu casa y manten tu sistema operativo siempre bien actualizado.
Todas las compañías detrás de estos sistemas operativos y software recibieron detalles de los exploits para ayudarlos a corregir los errores en futuras actualizaciones. Las empresas tienen 90 días para desarrollar parches de seguridad. Una vez transcurrido este tiempo, los errores se hacen públicos.
De alguna manera, ni Android ni iOS fueron parte de ninguna hazaña exitosa este año, lo cual es una buena noticia para los usuarios. Sin embargo, como muestran los exploits de Pwn2Own, ninguna plataforma es 100% segura, por lo que se recomienda seguir las mejores prácticas para mantener sus datos seguros.
Fuente: https://cansecwest.com/