Multiples productos de compañias como Google, Microsoft, Apple, Samsung fueron explotados con 0-days en la Tianfu Cup 2020, la tercera edición del concurso de cibersecuridad internacional celebrado en China.
La Tianfu Cup, análoga a la Pwn2Own, es una competición donde equipos de investigadores en ciberseguridad intentan aprovecharse de vulnerabilidades nuevas, no publicadas hasta la fecha, en diversas aplicaciones. Esta competición se viene celebrando desde hace sólo 3 años. Comenzó en 2018, tras regulaciones del gobierno chino que impedían a los investigadores de dicho país participar en competiciones internacionales, con la excusa de la seguridad nacional.
Al contrario de lo que ocurre en competiciones CTF, donde los organizadores preparan aplicaciones con fallos a propósito, aquí se utilizan las versiones recientes de aplicaciones y sistemas de uso habitual, lo que incrementa enormementente la dificultad.
En esta última edición participaron 15 equipos, que disponían de 3 intentos de 5 minutos cada uno para ejecutar sus exploits y conseguir romper la seguridad del software para ejecutar código en el dispositivo o tomar el control del mismo. Según la organización, se lograron comprometer los siguientes sistemas:
- Chrome
- Safari
- Firefox
- Adobe PDF Reader
- Docker (Community Edition)
- VMWare EXSi
- QEMU
- Centos 8
- iOS 14 en un iPhone 11 Pro
- Samsung Galaxy S20
- Windows 10 v2004
- Routers TP-Link y ASUS
Todas las vulnerabilidades han sido ya reportadas a los respectivos fabricantes, para su corrección y distribución en forma de actualizaciones que veremos en breve.
Más información
https://thehackernews.com/2020/11/windows-10-ios-chrome-firefox-and.html
http://www.tianfucup.com/
Deja una respuesta