El primer día comenzó con una sorpresa. En apenas cinco minutos "caía" Safari. Lo hacía Chaouki Bekrar, miembro del grupo formado por la empresa francesa VUPEN. Demostró un error que permitía la ejecución de código remoto, comprometiendo todo el sistema con solo visitar una web especialmente manipulada. La plataforma sobre la que se llevó acabo fue un Mac OS X Snow Leopard de 64bits, lógicamente con todas las actualizaciones al día. Chaouki confirmó más tarde que el fallo está localizado en el motor WebKit, y que es mérito de un grupo formado por tres personas que trabajaron en ello durante dos semanas para encontrar el fallo, la arquitectura x64 resultó ser una traba para conseguir un exploit viable. El fallo encontrado les permitió embolsarse 15.000 dólares y el Mac Book Air que le proporcionaba la organización.
Apenas unas horas después le toco el turno a Internet Explorer 8, esta vez de la mano de Stephen Fewer, desarrollador de Metasploit. Fewer necesitó utilizar tres vulnerabilidades diferentes encadenadas para comprometer el Windows 7 SP1 de 64bits a través del navegador. El primer paso fue conseguir la ejecución de código y esto lo consiguió mediante el uso de dos 0 day. Una vez conseguido esto, la parte más complicada era saltarse las protecciones DEP y ASLR, dos mecanismos que ofrecen Windows Vista y 7 para evitar la ejecución de código. Basándose en un nuevo error en este sistema, todo encajó perfectamente cuando se visitó una web especialmente manipulada y se ejecutó el código arbitrario. De esta forma Stephen Fewer era el segundo en embolsarse 15.000 dólares y obtener portátil nuevo.
Al día siguiente tocó el turno del iPhone 4 y de Blackberry. Charlie Miller que ya en 2007 y 2009 logró vulnerar estos teléfonos, aprovechó un fallo en MobileSafari que le permitió capturar la agenda completa del dispositivo a través de la visualización de una web especialmente manipulada. La vulnerabilidad no afecta a la versión 4.3 de iOS debido a la inclusión que ha hecho Apple de ASLR en esta última versión.
En el caso de Blackberry, se llevó a acabo bajo una BlackBerry Torch 9800 con la versión de firmware 6.0.0.246. El trabajo lo llevó a cabo un grupo formado por tres personas: Vincenzo Iozzo, Willem Pinckaers y Ralf Philipp Weinmann .Este último ya logró comprometer el iPhone en el Pwn2Own del año anterior. El equipo aprovechó un fallo en Webkit (que recientemente ha sido añadido como motor en el navegador de Blackberry) y mediante una fuga de memoria lograron conocer algo sobre el funcionamiento de la memoria del teléfono. Cabe resaltar que no existe documentación sobre el funcionamiento interno de estos dispositivos y que no poseen de mecanismos de ASLR ni DEP. Aun así lograron hacerse con el control del teléfono móvil visitando una web especialmente manipulada y consiguieron robar la agenda, imágenes del dispositivo y escribir un archivo de texto dentro del mismo.
La noticia del evento fue que dos de los navegadores más usados como son Firefox y Chrome han salido indemnes de la cita anual. En parte porque corrigieron un gran número de vulnerabilidades justo antes del concurso.
Fernando Ramírez
framirez@hispasec.com
framirez@hispasec.com
