No hay ningún sistema operativo, plataforma o programa seguro. Ayer vimos cómo distintos grupos de hackers, en el primer día de la competición Pwn2Own 2023, consiguieron poner en evidencia la seguridad de Windows, macOS, Ubuntu y Adobe, entre otros. Y hoy, en el segundo día de competición, han caído otras grandes plataformas que te están poniendo en peligro.
Esta semana está teniendo lugar la competición de hackers Pwn2Own 2023, un concurso que se lleva a cabo en Vancouver donde los mejores expertos de seguridad ponen en evidencia la seguridad de los principales sistemas operativos y programas. Esta competición anual mueve mucho dinero, y tiene principalmente dos objetivos: el primero de ellos es ganar reputación y reconocimiento dentro del mundo de la seguridad informática demostrando quienes son los mejores hackers (y ganando importantes premios en efectivo), y, en segundo lugar, reportar graves fallos de seguridad a los fabricantes para que puedan corregirlos y que los usuarios de su software puedan estar seguros.
Toda la competición se lleva a cabo dentro de ambientes controlados y seguros, por lo que ni los fallos ni los exploits pueden caer en malas manos, y hasta que los desarrolladores no corrigen las vulnerabilidades, y pasa un tiempo desde que lo han hecho, no se facilita ningún tipo de información técnica.
En el primer día de competición, distintos grupos de hackers consiguieron romper la seguridad de los principales sistemas operativos: Windows, macOS y Ubuntu. También demostraron que software muy utilizado, como Adobe Reader y Microsoft SharePoint tenían graves vulnerabilidades que podían poner en riesgo los sistemas de los usuarios, sobre todo a nivel empresarial. Y, además, consiguieron llevar a cabo un ataque informático para demostrar algo que ya todos sabíamos: que el software del Tesla Model 3 tiene graves fallos de seguridad.
Zero Day Initiative@thezdiThat concludes Day 2 of #P2OVancouver – we awarded $475,000 for 10 unique zero-days today, bringing the total awarded to $850,000! Stay tuned tomorrow for the final day of the competition. #Pwn2Own https://t.co/EtMnP4Ree524 de marzo, 2023 • 00:37
99
3
Día dos del Pwn2Own 2023
En este segundo día de competición, los grupos de piratas informáticos han seguido atacando los principales objetivos para demostrar cómo son capaces de explotar sus fallos de seguridad. De esta forma, el primero en caer, por segundo día consecutivo, ha sido Tesla, ya que el grupo de hackers ha conseguido atacar de nuevo el Infotainment Unconfined Root del sistema de estos fabricantes, llevándose a casa 250.000 dólares, además de un Tesla Model 3.
Zero Day Initiative@thezdiCONFIRMED! @Synacktiv used a heap overflow & an OOB write to exploit the Infotainment system on the Tesla. When they gave us the details, we determined they actually qualified for a Tier 2 award! They win $250,000 and 25 Master of Pwn points. 1st ever Tier 2 award. Stellar work! https://t.co/IPOnXG5S0u23 de marzo, 2023 • 22:17
501
10
Otro de los sistemas que ha caído de nuevo por segunda vez consecutiva ha sido Ubuntu. La principal distro Linux, que tanto alardea de ser segura, ha vuelto a demostrar lo contrario, cayendo ante un exploit de escalada de privilegios que ha recompensado al grupo con 30.000 dólares.
Zero Day Initiative@thezdiDay 2 wraps up with another success! Tanguy Dubroca (@SidewayRE) from Synacktiv (@Synacktiv) used an incorrect pointer scaling leading to privilege escalation on Ubuntu Desktop. They earn $30,000 and 3 Master of Pwn points. #P2OVancouver #Pwn2Own https://t.co/rtX7tZWqzS24 de marzo, 2023 • 00:25
97
4
El tercero de los programas que ha caído en este segundo día de competición ha sido Oracle VirtualBox, el popular software de virtualización de sistemas operativos de código abierto. Los atacantes han conseguido crear un exploit que se aprovecha de tres bugs en el software para ganar privilegios dentro de un host con VirtualBox, lo que les ha recompensado con 80.000 dólares.
Zero Day Initiative@thezdiSuccess / Collision – Thomas Imbert (@masthoon) and Thomas Bouzerar (@MajorTomSec) from @Synacktiv demonstrated a 3-bug chain against Oracle VirtualBox with a Host EoP. One bug was previously known. They still earn $80,000 and 8 Master of Pwn points. #Pwn2Own #P2OVancouver https://t.co/0vQTFqYrU623 de marzo, 2023 • 20:21
65
1
VirtualBox también se ha visto afectado por un segundo fallo de seguridad, del tipo Use-After-Free (UAF), el cual ha sido recompensado con 40.000 dólares.
Zero Day Initiative@thezdiSuccess! dungdm (@_piers2) of Team Viettel (@vcslab) used an uninitialized variable and a UAF bug to exploit Oracle VirtualBox. They earn $40,000 and 4 Master of Pwn points. #Pwn2Own #P2OVancouver https://t.co/Swq8lIjeN723 de marzo, 2023 • 23:32
68
2
Y por último, pero no menos importante, también ha caído Microsoft Teams, el popular programa de mensajería para empresas (que viene integrado en Windows 11 también), el cual ha sido hackeado aprovechando dos exploits recompensando a sus expertos con 75.000 dólares.
Zero Day Initiative@thezdiSuccess! @hoangnx99, @rskvp93, and @_q5ca from Team Viettel (@vcslab) used a 2-bug chain in their attempt against Microsoft Teams. They earn $75,000 and 8 Master of Pwn points. https://t.co/1dq4ofM6bS23 de marzo, 2023 • 20:59
60
0
En total, este segundo día de competición ha recompensado a los investigadores con 475.000 dólares. Y aún queda un tercer día de competición. ¿Quién caerá en el último día de la Pwn2Own 2023? Pronto lo veremos.