Pwn2Own 2033 se celebró en Vancouver

Hace poco se dieron a conocer los resultados de los tres días de la competición Pwn2Own 2023, que se celebra anualmente en el marco de la conferencia CanSecWest en Vancouver.

En esta nueva edición se han demostrado técnicas de trabajo para explotar vulnerabilidades previamente desconocidas para Ubuntu, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint y para los vehículos Tesla.

Se demostraron un total de 27 ataques exitosos que explotaron vulnerabilidades previamente desconocidas.

Para quienes desconocen del Pwn2Own, deben saber que este es un evento mundial de hacking organizado por Trend Micro Zero-Day Initiative (ZDI), que se lleva a cabo desde 2005. En él, algunos de los mejores equipos de hacking compiten contra objetivos tecnológicos predeterminados y entre sí, utilizando ‘zero -day’ hazañas.

Estos hackers cazarrecompensas e investigadores de seguridad de élite tienen un límite de tiempo estricto para ‘pwn’ con éxito los objetivos en cuestión. El éxito se recompensa tanto con los puntos que se agregan a una tabla de clasificación de Masters of Pwn, y las felicitaciones de Pwn2Own no deben subestimarse ya que la naturaleza competitiva es fuerte aquí, así como con pagos impresionantes. En total, Pwn2Own Vancouver 2023 tiene un fondo de premios de más de $1 millón.

El primero en caer fue Adobe Reader en la categoría de aplicaciones empresariales después de que Abdul Aziz Hariri (@abdhariri) de Haboob SA usó una cadena de exploits dirigida a una cadena lógica de 6 errores que abusaba de múltiples parches fallidos que escaparon del Sandbox y pasaron por alto una lista de API prohibidas en macOS para gana U$S 50.000.

En la competencia se demostró cinco intentos exitosos de explotar vulnerabilidades previamente desconocidas en Ubuntu Desktop, realizados por diferentes equipos de participantes.

Los problemas fueron causados ​​por la doble liberación de memoria (una bonificación de $ 30k), el acceso a la memoria después de la liberación (una bonificación de $ 30k), el manejo incorrecto del puntero (una bonificación de $ 30k). En dos demostraciones, ya conocidas, pero no reparadas, se utilizaron vulnerabilidades (dos bonos de 15 mil dólares). Además, se realizó un sexto intento de atacar Ubuntu, pero el exploit no funcionó.

Sobre los componentes del problema aún no se informan, de acuerdo con los términos de la competencia, la información detallada sobre todas las vulnerabilidades zero day demostradas se publicará solo después de 90 días, que se dan para la preparación de actualizaciones por parte de los fabricantes para eliminar vulnerabilidades.

Sobre las otras demostraciones de ataques exitosos se menciona lo siguiente:

• Tres hacks de Oracle VirtualBox que explotan las vulnerabilidades causadas por el acceso a la memoria después de las vulnerabilidades libres, desbordamiento del búfer y lectura fuera del búfer (dos bonos de $ 40k y un bono de $ 80k por explotar 3 vulnerabilidades que permitieron la ejecución de código en el lado del host).
• Elevación de privilegios de macOS de Apple ($40K Premium).
• Dos ataques a Microsoft Windows 11 que les permitieron aumentar sus privilegios (primas de $30.000).
• Las vulnerabilidades fueron causadas por el acceso a la memoria después de la liberación y la validación de entrada incorrecta.
• Ataque a Microsoft Teams usando una cadena de dos errores en el exploit (prima de $75,000).
• Ataque a Microsoft SharePoint (bono de $100,000).
• Ataque a la estación de trabajo VMWare mediante el acceso a la memoria libre y una variable no inicializada (prima de $80 000).
• Ejecución de código mientras se procesa contenido en Adobe Reader. Se usó una cadena compleja de 6 errores para atacar, eludir el sandbox y acceder a la API prohibida (premio de $50,000).

Dos ataques al sistema de información y entretenimiento del automóvil Tesla y Gateway Tesla, lo que permite obtener acceso de root. El primer premio fue de $100,000 y un auto Tesla Model 3, y el segundo premio fue de $250,000.

Los ataques utilizaron las últimas versiones estables de aplicaciones, navegadores y sistemas operativos con todas las actualizaciones disponibles y en la configuración predeterminada. El monto total de la remuneración pagada ascendió a$1,035,000 y un carro. El equipo con más puntos recibió $530,000 y un Tesla Model 3.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.