Menú principal

sábado, 25 de marzo de 2017

Apple, Microsoft, Linux protagonistas del Pwn2Own

Recientemente se ha celebrado la décima edición de Pwn20wn, el concurso anual que se celebra durante la conferencia de seguridad CanSecWest de Vancouver la cual ha contado con la participación de 11 equipos que han sido autorizados para atacar una serie de productos y herramientas. Este año las categorías son sistemas operativos, aplicaciones de empresa, navegadores, maquinas virtuales, obtención de privilegios y servidores. Durante el primer día de la competición uno de los equipos fue capaz de sacar vulnerabilidades de Microsoft Edge, Apple Safari, Adobe Reader y Ubuntu Linux.

Chaitin Security Research Lab se aprovechó de seis vulnerabilidades distintas que al combinarlas fueron capaces de lograr priviliegio y acceso a Mac OS ganando así un premio de 35.000 dólares. El equipo Gross Baumstark logró explotar cinco errores del sistema para mostrar mensajes de error en la barra táctil de un MacBook Pro de 2016, el ataque combinó distintas vulnerabilidades dando lugar a la ejecución de código arbitrario como root en Mac OS, sin embargo solo recibieron 28.000 dólares al considerarlo un éxito parcial.

A su vez dos equipos lograron derribar Adobe Reader y combinar otros errores en el núcleo de Windows para obtener acceso a nivel de sistema. Los investigadores de 360 Security ganaron 50.000  dólares y el equipo chino Tecent también recibió 25.000, Tecent recibió otros 80.000 dólares por crackear el navegador de Microsoft Edge mediante el uso de un error lógico.

Figura 1: Equipo 360 Security

Este año la competición ha tenido que alargarse durante un día más debido al gran número de participantes que se han apuntado, durante este día extra el equipo de 360 Security logró escapar de una máquina virtual a través de Microsoft Edge aprovechando 3 bugs, lo cual se premiaba con 100.000 dólares debido a su dificultad ya que las herramientas de VMware no estaban instaladas en la máquina virtual, el equipo no revelo cuanto tiempo empleó en descubrir cómo hacerlo, pero su demostración no duró más de 90 segundos.

Los investigadores deberán compartir sus exploits con los organizadores del evento, los cuales informaran a los proveedores de software para que puedan parchear las vulnerabilidades en sus productos. El concurso ha sido patrocinado por Micro´s Zero Day Initiative (ZDI) y en total se han repartido más de 833.000 dólares además de los equipos regalados a los ganadores.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares