Los días 16 y 17 de marzo se ha celebrado una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Como en ediciones anteriores en esta ocasión las víctimas han sido Apple Safari, Microsoft Edge, Adobe Flash y Google Chrome.
Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos, así como en los plugins más atacados: en esta ocasión Flash ha sido el centro de los ataques. Pwn2Own 2016se ha celebrado en la ciudad canadiense de Vancouver, organizado por Hewlett Packard Enterprise, Zero Day Initiative (ZDI) y Trend Micro.
El primer día se realizaron seis intentos de ataque, cuatro exitosos, uno de forma parcial y otro fallido. En total 15 nuevas vulnerabilidades y 282.500 dólares en premios. Empezó con JungHoon Lee (lokihardt), ya conocido en estos eventos, atacando Apple Safari mediante una combinación de cuatro fallos diferentes, incluyendo desde un uso después de liberar en el navegador hasta un desbordamiento de búfer para elevar sus privilegios a root.
Siguió el equipo 360Vulcan, también habitual en ediciones anteriores, con un ataque a Adobe Flash. Fueron capaces de emplear una confusión de tipos en Flash y un fallo en el kernel de Windows para escalar del modo usuario a SYSTEM. Estos exploits supusieron 80.000 dólares al equipo.
Tencent Security Team Shield atacaron Apple Safari junto con una escalada de privilegios a root con ello. Objetivo cumplido mediante un uso después de liberar en el navegador y otro uso después de liberar en un proceso con privilegios, lo que les sirvió para conseguir 40.000 dólares.
De nuevo en escena el equipo 360Vulcan para atacar a Google Chrome. En esta ocasión el objetivo solo se logró de forma parcial. El acceso fuera de límites en Chrome empleado ya era conocido por Google, pero este fallo junto con tres usos después liberar les sirvieron para conseguir otros 52.500 dólares.
El equipo Tencent Security Team Sniper atacó en esta ocasión a Adobe Flash. Mediante una combinación de fallos, que empezaba en un acceso fuera de límites en Flash seguido de una fuga de información en el kernel de Windows que permitía un uso después de liberar para lograr la ejecución de código con permisos del sistema. Esta cadena de fallos les reportó 50.000 dólares.
Para finalizar el primer día, Tencent Xuanwu Lab intentó conseguir una elevación a privilegios de sistema en su ataque a Adobe Flash. Sin embargo, tras de los 15 minutos permitidos no consiguió un ataque exitoso.
Vídeo resumen del primen día
El segundo día fue igualmente productivo con cinco intentos, tres exitosos y dos fallidos participantes contra siete productos, que consiguieron 177.500 dólares en premios. Lo entre los dos días que hace un total de 460.000 dólares en premios.
El equipo Tencent Security Team Sniper comenzó el segundo día atacando Apple Safari. Primero con un uso después de liberar en el navegador seguido de una acceso fuera de límites en el kernel para elevar los privilegios a root. Esta combinación les aportó otros 40.000 dólares.
De la mano de JungHoon Lee (lokihardt), le llegó el turno a Edge, el nuevo navegador de Microsoft, que demostró una ejecución de código en el contexto del sistema mediante una vulnerabilidad de variable no inicializada en Microsoft Edge y una escalada de directorios en Microsoft Windows. Lo que le supuso otros 85.000 dólares.
El ataque de JungHoon sobre Google Chrome no tuvo éxito, al igual que el intento de Tencent Security Team Shield sobre Adobe Flash. Ambos investigadores ya habían mostrado, con éxito, sus habilidades anteriormente, sin embargo en esta ocasión no lograron su objetivo. Tal y como señalan los organizadores, estos intentos fallidos demuestran la dificultad de crear una cadena de exploits exitosos capaces de comprometer el software actual.
Para acabar la competición de este año, Tencent Security Team Sniper lograron un ataque exitoso contra Microsoft Edge en tan solo dos minutos. Emplearon una vulnerabilidad de acceso fuera de límites en el navegador combinada con un desbordamiento de búfer en el kernel de Windows para conseguir permisos de sistema. Lo que les sirvió para conseguir otros 52.500 dólares y el título de «Master of PWN 2016«.
Vídeo resumen del segundo día:
Los resultados finales de este Pwn2Own son impresionantes:
- 21 nuevas vulnerabilidades en total
- 6 vulnerabilidades en Windows
- 5 vulnerabilidades en Apple OS X
- 4 vulnerabilidades en Adobe Flash
- 3 vulnerabilidades en Apple Safari
- 2 vulnerabilidades en Microsoft Edge
- 1 vulnerabilidad en Google Chrome
- 460.000 dólares en premios.
Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas. Sin duda en breve empezaremos a ver las actualizaciones para corregir estos problemas.
Más información:
Pwn2Own 2016 Has Begun
Pwn2Own 2016: The lineup and schedule
Pwn2Own: Day 1 Recap
Pwn2Own 2016: Closing out the first day
Pwn2Own: Day 2 and Event Wrap-Up
Pwn2Own 2016: Day two – crowning the Master of Pwn
Antonio Ropero
Twitter: @aropero
Deja una respuesta