Estos son los resultados del Pwn2Own 2024
Hace poco se dieron a conocer los resultados de los dos días de competiciones del «Pwn2Own 2024», el cual se celebra anualmente como parte de la conferencia CanSecWest en Vancouver y durante el evento, se presentaron las demostraciones de explotación de vulnerabilidades previamente desconocidas en sistemas como Ubuntu, Windows, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge y Tesla.
En total, se ejecutaron con éxito 23 ataques, aprovechando 29 vulnerabilidades desconocidas hasta entonces, y la suma total de las recompensas pagadas ascendió a los $1,132,500 dólares, incluyendo un premio adicional de un Tesla Model 3 por hackear un vehículo Tesla. Las recompensas totales distribuidas en las tres últimas competiciones Pwn2Own alcanzaron los $3,494,750 dólares y el equipo con la mayor puntuación recibió un premio de 202,000 dólares.
De los intentos de ataques que se realizaron en los dos días del Pwn2Own 2024, se mencionan cuatro ataques exitosos a Ubuntu, que permitieron a un usuario sin privilegios obtener derechos de root. Estos ataques se beneficiaron de vulnerabilidades causadas por condiciones de carrera y desbordamientos de búfer. Los premios otorgados fueron de 20 mil dólares, 10 mil dólares y dos premios de 5 mil dólares cada uno.
Otro de los ataques de demostración fue en Firefox, el cual logro eludir el aislamiento del sandbox y permitió ejecutar código en el sistema al abrir una página especialmente diseñada. Este ataque ganó un premio de 100 mil dólares y la vulnerabilidad se debió a un error que permitía leer y escribir datos fuera del límite del búfer asignado para un objeto JavaScript, además de sustituir un controlador de eventos en un objeto JavaScript privilegiado. Mozilla respondió rápidamente con la actualización Firefox 124.0.1 para abordar estos problemas.
Cuatro ataques a Chrome que permitieron ejecutar código en el sistema al abrir una página especialmente diseñada. Los premios fueron de 85 mil dólares, 60 mil dólares y dos premios de 42,5 mil dólares cada uno. Estas vulnerabilidades se debieron al acceso a la memoria después de lecturas liberadas y fuera del búfer, así como a una validación incorrecta de entrada. Además, estos exploits son universales y funcionan tanto en Chrome como en Edge.
Un ataque a Safari (navegador web de Apple) que permitió ejecutar código en el sistema al abrir una página especialmente diseñada, con un premio de 60 mil dólares. La vulnerabilidad en Safari fue causada por un desbordamiento de enteros.
Cuatro ataques a VirtualBox que permitían salir del sistema invitado y ejecutar código en el lado del host. Los premios fueron de 90 mil dólares y tres premios de 20 mil dólares cada uno. Estos ataques se basaron en vulnerabilidades causadas por desbordamientos de búfer, condiciones de carrera y acceso a la memoria después de liberarse.
Un ataque a Docker que permitió escapar de un contenedor aislado, con un premio de 60 mil dólares. La vulnerabilidad se debió a un acceso a la memoria después de liberarse.
Dos ataques a VMWare Workstation que permitieron cerrar sesión en el sistema invitado y ejecutar código en el lado del host. Los ataques aprovecharon un acceso a la memoria después de liberarse, un desbordamiento de búfer y una variable no inicializada. Los premios fueron de 30 mil dólares y 130 mil dólares.
Cinco ataques a Microsoft Windows 11 que permitieron aumentar los privilegios. Los premios fueron tres de 15 mil dólares y uno de 30 mil dólares, con 7.500 dólares adicionales cada uno. Estas vulnerabilidades se debieron a condiciones de carrera, desbordamientos de enteros, recuento de referencias incorrecto y validación de entrada incorrecta.
Ademas de ello, se reportaron los siguientes incidentes de seguridad:
- Un ataque que permitió la ejecución de código al procesar contenido en Adobe Reader, con un premio de $50 mil. La vulnerabilidad explotada permitió eludir las restricciones de API y aprovechar un error para sustituir comandos.
- Un ataque al sistema de información de un coche Tesla, utilizando la manipulación del bus CAN BUS para lograr un desbordamiento de enteros y acceder a la ECU (unidad de control electrónico). Este incidente resultó en una adjudicación de 200 mil dólares y un coche Tesla Model 3.
- Se menciona que los intentos de piratear Microsoft SharePoint y VMware ESXi no tuvieron éxito.
Los detalles exactos de los problemas no se han revelado aún. Según los términos del concurso, la información detallada sobre todas las vulnerabilidades Zero day demostradas se publicará después de 90 días. Este período se otorga a los fabricantes para que preparen actualizaciones que aborden y eliminen las vulnerabilidades identificadas.
Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.