No existe un software 100% seguro. Todos los programas, de una forma u otra, pueden poner en peligro la seguridad de nuestro ordenador y de nuestros datos. Y cuanto más complejos son los programas, más probable y fácil es encontrar estos fallos. Por ello, tanto investigadores como desarrolladores trabajan constantemente en buscar y solucionar todos los nuevos fallos que puedan suponer un peligro para los usuarios. Y tan importante es esta labor que hasta hay concursos para buscar y explotar fallos, como el Pwn2Own.
Los fallos de seguridad en el software pueden descubrirse de tres formas diferentes. Por un lado, cada compañía (como Microsoft o Google) tienen sus propios investigadores que analizan sus productos en busca de fallos de seguridad. Por otro lado, hay empresas que se dedican a investigar estos fallos y cobrar las recompensas que ofrecen las compañías a cambio de la información para seguir reforzando la seguridad de sus productos. Y en tercer lugar están los piratas informáticos, quienes constantemente buscan nuevas debilidades en todo tipo de programas para su propio uso o para venderlas a otros piratas en el mercado negro.
Aunque durante mucho tiempo la venta de vulnerabilidades a otros piratas ha sido predominante, gracias a los programas de recompensas Bug Bounty esto se ha reducido, y es que hay muchos usuarios que prefieren reportar oficialmente un fallo y ganar dinero legal con ello antes que moverse en el mercado negro. Además, las competiciones como esta Pwn2Own permiten a grupos de hackers enfrentarse entre sí en busca de vulnerabilidades en todo tipo de programas, y ganar un buen dinero por cada fallo detectado.
Pwn2Own 2021: Windows 10, Exchange y Microsoft Teams son los primeros en caer
Ayer mismo daba comienzo la nueva competición Pwn2Own 2021. Y en su primer día se han conseguido explotar graves fallos de seguridad en tres plataformas de Microsoft.
Por un lado, un grupo de hackers (Viettel) ha conseguido una recompensa de 40.000 dólares por descubrir un fallo de seguridad de día cero en Windows 10. Este fallo podría utilizarse para que cualquier usuario del sistema consiguiera un nivel de privilegios SYSTEM en el sistema operativo.
Zero Day Initiative@thezdiConfirmed! z3r09 used an integer overflow to escalate his permissions up to NT Authority\SYSTEM. His impressive display nets him $40,000 and 4 points towards Master of Pwn. https://t.co/8FedmaZbuk08 de abril, 2021 • 00:10
57
1
Por otro lado, otro equipo (Devcore) ha conseguido la suma de 200.000 dólares por encontrar la forma de combinar dos fallos de Exchange, el servidor de correo. Estos dos fallos eran del tipo authentication bypass y privilege escalation, y juntos podían permitir a otros usuarios ejecutar código remoto en un servidor.
Zero Day Initiative@thezdiConfirmed! The Devcore team used an authentication bypass and a privilege escalation to take over the #Exchange server. They win the full $200,000 and 20 Master of Pwn points. https://t.co/8JC20w768f06 de abril, 2021 • 18:16
537
35
Y en tercer lugar, un investigador de seguridad individual ha conseguido 200.000 dólares al combinar dos fallos de seguridad de Microsoft Teams y conseguir ejecutar código a través de la plataforma de mensajería empresarial de la compañía.
Zero Day Initiative@thezdiConfirmed! OV used a pair of bugs to compromise #Microsoft #Teams and get code execution. He wins $200,000 and 20 points towards Master of Pwn. #Pwn2Own #P2O https://t.co/gLhWUbJNJN06 de abril, 2021 • 20:07
194
11
En total, 440.000 dólares se han repartido en el primer día de la Pwn2Own 2021. Estos fallos, por supuesto, ya han sido reportados a Microsoft, quien tiene 90 días para solucionarlos antes de que se haga pública la información técnica sobre ellos.
En este primer día, también se han explotado fallos en macOS (acceso al Kernel a través de Safari) y en Ubuntu.
Zero Day Initiative@thezdiSucces! Manfred Paul wasted no time showing us his local privilege escalation on #Ubuntu Desktop. He heads off to the disclosure call to provide all the details. #Pwn2Own07 de abril, 2021 • 22:38
39
0
Veremos nuevas vulnerabilidades en los próximos días
Hoy tendrá lugar el segundo día de esta competición. Y según los planes de los investigadores, los principales objetivos serán Google Chrome, Microsoft Edge (Chromium) y Zoom Messenger. Además, otros grupos de hackers intentarán encontrar y explotar otros fallos en Windows 10, Exchange y MS Teams.
Igual que en el caso anterior, solo se demostrará la existencia del fallo, y estos se reportarán a los desarrolladores. Hasta dentro de 90 días no se podrá conocer nada de información sobre los fallos, por seguridad, para evitar que se empiecen a explotar de forma masiva en la red.