La seguridad es uno de los elementos más importantes que debemos tener en cuenta a la hora de elegir un sistema operativo para nuestro PC. Lo normal es apostar siempre por sistemas operativos modernos y actualizados, como puede ser Windows 11, e incluso Ubuntu. Y lo mismo debemos aplicar a la hora de elegir programas para el día a día. Pero, ¿realmente estamos seguros cuando usamos estos sistemas o programas? Esto es lo que pretende demostrar la Pwn2Own 2022.
Pwn2Own nació como un concurso de hacking en 2007, y se ha mantenido, realizándose dos veces al año, hasta hoy. En este concurso, los mejores hackers del mundo compiten por encontrar la vulnerabilidad más grave en los sistemas operativos y programas más usados con el objetivo de poner en evidencia la seguridad de las gigantes empresas de software, ganar dinero gracias a los programas de recompensas, y ayudar a que los usuarios puedan disfrutar de un software más seguro.
En los tres días que ha durado este concurso, no ha quedado títere con cabeza. Y se ha puesto en evidencia cómo, da igual que usemos Windows o Linux, podemos perfectamente terminar en las garras de piratas informáticos.
Windows 11 y Ubuntu han caído los tres días
Curiosamente, en esta edición no se ha puesto a prueba la seguridad de Windows 10, sino que todas las pruebas han sido para poner en evidencia la (nefasta) seguridad de Windows 11. De esta forma, los fallos que se han conseguido explotar para este sistema operativo han sido los siguientes (todos ellos recompensados con 40.000 dólares):
- Un fallo de escritura out-of-bounds que permitía elevar privilegios dentro del sistema.
- Una vulnerabilidad del tipo Use-After-Free que permitía ganar privilegios en el sistema.
- Un fallo en el control de acceso que se traduce en la posibilidad de ganar privilegios en el sistema.
- Un desbordamiento de enteros que permite ganar permisos no deseados en el sistema.
- Una vulnerabilidad del tipo Improper Access Control con la que ganar privilegios en el sistema.
- Un fallo del tipo Use-After-Free con el que ganar permisos en el sistema.
Por supuesto, todos estos fallos se han reportado a Microsoft, quien tiene 90 días para corregirlos mediante un parche de seguridad antes de que se haga pública la información relacionada con ellos.
En el caso de Ubuntu, la distro Linux más conocida se ha visto afectada de igual forma por 4 fallos de seguridad, los cuales pueden ser utilizados para hackear a sus usuarios. Igualmente, cada uno de estos fallos ha sido recompensado con 40.000 dólares:
- Dos fallos que se pueden combinar entre sí para ganar privilegios: Out-of-Bounds Write (OOBW) y Use-After-Free (UAF).
- Un exploit que permite el acceso remoto a cualquier ordenador de escritorio con Ubuntu gracias a un fallo Use-After-Free.
- Un grave fallo de seguridad del tipo Use After Free para ganar privilegios en el sistema.
- Un último fallo en Ubuntu Desktop del tipo Use After Free que permite ganar privilegios.
Otros programas que han caído
Además de Windows 11 y Ubuntu, hay otras piezas de software que han caído dentro de la competición. Estas son las siguientes:
- Microsoft Teams (tres fallos).
- Oracle Virtualbox.
- Mozilla Firefox.
- Apple Safari.
Y, como dato curioso, también han conseguido hackear el sistema «Infotainment System» de un Tesla Model 3, aunque el coche se resistió a mostrar sus debilidades en público.