Vuelve a demostrarse que no hay sistema seguro: Linux, macOS y Windows caen en la Pwn2Own 2020
No existe el sistema operativo perfecto. Siempre se ha dicho. De hecho, este artículo llega solo minutos después de otro en el que hablábamos de una vulnerabilidad zero-day que han hecho pública hace unas horas. De lo que tenemos que hablar ahora es de algo menos grave, puesto que ha sido en el Pwn2Own 2020 donde se han encontrado los últimos fallos en Windows 10, macOS y Ubuntu. Menos grave en teoría, porque ahora son las compañías las que tienen que reparar los fallos encontrados.
El Pwn2Own 2020 ha sido la edición de este año de un concurso para hackers de esos que les sirve para por lo menos dos cosas: lo primero es llevarse el dinero del premio, y lo segundo es darse a conocer al mundo, lo que les permitiría encontrar un trabajo que en ocasiones puede hacerles terminar en una compañía grande como las que acaban de “reventar”.
Ubuntu fue explotado por su kernel en el Pwn2Own 2020
En cuanto a Linux, fue el sistema operativo Ubuntu el que cayó de la mano del equipo RedRocket CTF. Dicho equipo encontro un exploit LPE (Local Privilege Escalation) que les permitió conseguir acceso root. El equipo de hackers se llevó 30.000$ por su gesta. Pero otros equipos se llevaron algo más de dinero por, en teoría, encontrar fallos más importantes o numerosos.
El primer premio se lo llevó el equipo que encontró un exploit en Safari por otro LPE en el kernel de macOS que afectaba a su navegador. El equipo que lo descubrió, Georgia Tech Systems Software & Security Lab, se llevó 70.000$ por su descubrimiento, más que nada porque el exploit consistía en un total de seis bugs. El equipo también consiguió desactivar la SIP (System Integrity Protection) del sistema operativo.
Algo menos ganó el usuario conocido como Fluorescence, un veterano de Pwn2Own que uso su bug UAF (use-after-free) para conseguir privilegios de escalado del sistema en Windows. Fluorescence se llevó 40.000$. Otro software vulnerado durante el certamen fue VirtualBox, Adobe Reader en Windows y VMWare Workstation, aúnque el último no se pudo demostrar y no se llevó ningún premio. Los organizadores sí consiguieron explotar el fallo de VMWare Workstation a posteriori, por lo que por lo menos sí mencionaron al equipo que lo descubrió.
El certamen de este año fue diferente al de años anteriores: se celebró en línea debido al Coronavirus. En cualquier caso, se volvió a demostrar que ningún sistema operativo es seguro como tampoco lo es para nadie salir a la calle en estos momentos. Así que, una vez más, diremos dos cosas: quédate en tu casa y manten tu sistema operativo siempre bien actualizado.