Chrome y Edge caen en esta importante competición de hackers

Chrome y Edge caen en esta importante competición de hackers

Rubén Velasco

La seguridad de un navegador web es una de las características más importantes. Estos programas suelen ser los más utilizados por los piratas informáticos para conseguir poner en jaque la seguridad de los usuarios. Por ello, tanto Google, como Microsoft, Apple o Mozilla suelen comprobar sus navegadores a menudo y reforzar su seguridad con cada actualización. Aunque a veces esto no es suficiente, y es que este mismo fin de semana se han descubierto nuevas y graves vulnerabilidades en Edge, Chrome y otros programas en una competición de hackers.

Actualmente existen varias competiciones de hackers a nivel mundial en el que programadores y expertos de seguridad de todo el mundo emplean a fondo sus habilidades para descubrir vulnerabilidades en el software más utilizado. La competición más conocida es Pwn2Own, aunque existen otras competiciones también importantes, como la TFC, o Copa Tianfu, competición más importante de China después de que el gobierno de ese país prohibiera a sus hackers participar en competiciones externas al país. Ahora la TFC compite contra las demás competiciones a nivel mundial. Sus reglas son las mismas que las de otras competiciones como la Pwn2Own.

Estas competiciones buscan descubrir vulnerabilidades zero-day en programas muy utilizados por usuarios o en empresas con el fin de solucionarlos antes de que caigan en manos de piratas informáticos malintencionados.

Puntuación hackers TFC 2019

Chrome, Edge y Safari, los más pirateados en el primer día de la TFC

El pasado sábado tuvo lugar la primera sesión de esta competición de hackers. Y como era de esperar, no pasó mucho tiempo hasta que empezaron a aparecer las primeras aplicaciones vulnerables.

El primero de los programas en caer fue Edge, el navegador de Microsoft (la versión actual con motor EdgeHTML, no Chromium). Los hackers chinos encontraron un total de 3 exploits: uno de ellos del tipo RCE (ejecución de código remoto), otro del tipo sandbox escape (salir de su espacio limitado y tener acceso al sistema) y el tercero un bypass para una vulnerabilidad de 2015.

Imagen usuario de twitter
TianfuCup
@TianfuCup
Congrats! All the three Edge exploits are confirmed to be success! Teams ddd @ExpSky and 360vulcan @mj0011sec both achieved RCE + sandbox escape, so each earned $55,000. Team .(dot) get $10,000 with RCE.
04 de marzo, 2024 • 09:50

43

2

En segundo lugar, también han conseguido poner en jaque la seguridad de Google Chrome, el navegador web más utilizado en todo el mundo. En total se han descubierto dos vulnerabilidades con dos exploits diferentes, aunque de momento no se ha facilitado información sobre ellas. Cuando Google corrija los fallos publicará los detalles técnicos de estas vulnerabilidades.

Imagen usuario de twitter
TianfuCup
@TianfuCup
Exploit against #Chrome are verified to be effective. Team 0x34567a61 @Xbalien29 @leonwxqian and Team ddd @ExpSky got $20,000 in their pockets, respectively. Congrats!
04 de marzo, 2024 • 09:50

53

5

Pero estos dos no son los únicos navegadores expuestos. Uno de los grupos también ha conseguido explotar una vulnerabilidad en Safari, el navegador web de Apple. Esto es muy importante teniendo en cuenta la postura de Apple frente a vulnerabilidades.

Imagen usuario de twitter
TianfuCup
@TianfuCup
StackLeader @codecolorist was just verified to get a partially successful entry on #Safari. They earned a bonus of $30,000.
04 de marzo, 2024 • 09:50

41

1

Otros programas con graves vulnerabilidades en la TFC

Además de los navegadores anteriores, en esta competición también se ha puesto en entredicho la seguridad de otros programas muy populares. Por ejemplo, se ha descubierto una grave vulnerabilidad en Office 365, cuatro en Adobe PDF Reader y otra en qemu-kvm (hipervisor de virtualización en Linux). Esta última ha sido recompensada con 80.000 dólares.

Sin embargo, la más importante, además de la de los navegadores, es una vulnerabilidad en VMware que permitía evadir la seguridad de la máquina virtual y tomar el control del sistema operativo host en tan solo 24 segundos. Esta vulnerabilidad ha sido premiada a los investigadores con 200.000 dólares, la mayor recompensa vista hasta hoy.

Todos los fallos que se han visto en esta competición han sido descubiertos por hackers de sombrero blanco (white hat), por lo que no se va a publicar información técnica sobre cómo explotarlas, ni los correspondientes exploits, hasta que las compañías las solucionen.

Debemos estar atentos a las próximas actualizaciones de todos estos programas, ya que traerán consigo los parches para protegerse de estas vulnerabilidades. Tan pronto como lleguen las actualizaciones debemos pensar en actualizar Google Chrome, Edge y los demás programas para poder estar seguros de que no corremos peligro.

¡Sé el primero en comentar!