Los investigadores de seguridad en el tercer y último día del evento Pwn2Own Vancouver 2022 han logrado hackear hasta 3 veces el nuevo sistema operativo de los Redmond, Windows 11. Este hackeo se ha llevado a cabo a través de vulnerabilidades de Día 0 que fueron descubiertas.
Sin embargo, cuando los investigadores de seguridad quisieron hacer lo mismo con Microsoft Teams, no lo lograron, ya que el exploit implementado no fue tan eficiente y no se pudo demostrar en el tiempo asignado para realizarlo. Cabe mencionar que en este tipo de eventos, los investigadores tienen un tiempo determinado para demostrar las vulnerabilidades de los software, y con Teams parece que no fue tan fácil.
Hackean hasta 3 veces Windows 11 en el evento Pwn2Own
Para los que no saben, Pwn2Own es el evento de hacking más importante de todo el mundo, se lleva acabo 1 vez al año y a los concursantes se les otorgan grandes premios. Su objetivo es encontrar vulnerabilidades de Día 0 en un entorno controlado, de esta forma los proveedores o desarrolladores puedan solucionarlos antes de que sean explotadas.
Cada uno de los participantes, que en su mayoría son investigadores de seguridad, se comprometen en no hacer públicos los descubrimientos en un periodo mínimo de 90 días.
Los concursantes que lograron piratear sus objetivos, incluyendo a Windows 11 (3 veces) y Ubuntu Desktop (1 vez) se ganaron $ 160,000. El primero en demostrar una escalada de privilegios de Día cero de Windows 11 en el tercer día de Pwn2Own fue nghiadt12 de Viettel Cyber Security.
También Bruno Pujos de REverse Tactics y vinhthp1712 aumentaron los privilegios en Windows 11 usando las vulnerabilidades Use-After-Free y Improper Access Control, respectivamente. Por último, pero no menos importante, Billy Jheng Bing-Jhong de STAR Labs logro hackear un sistema que ejecutaba Ubuntu Desktop utilizando un exploit Use-After-Free.
Pwn2Own 2022 concluyo con 17 competidores ganando un total de $ 1,155,000 por Exploits de Día cero y cadenas de Exploits demostradas durante tres días, entre el 18 y el 20 de mayo.
En el primer día de Pwn2Own, los piratas informáticos ganaron $800,000 después de explotar con éxito 16 errores de Día cero para piratear múltiples productos, incluido el sistema operativo Windows 11 de Microsoft y la plataforma de comunicación Teams, Ubuntu Desktop, Apple Safari, Oracle Virtualbox y Mozilla Firefox.
El segundo día, los concursantes ganaron $195,000 después de demostrar fallas en el sistema de info-entretenimiento Telsa Model 3, Ubuntu Desktop y Microsoft Windows 11. Los investigadores de seguridad también demostraron 6 Exploits de Windows 11 durante el concurso, piratearon Ubuntu Desktop cuatro veces y demostraron tres vulnerabilidades de Día 0 en Microsoft Teams.
También informaron varias fallas en Apple Safari, Oracle Virtualbox y Mozilla Firefox; después de que las vulnerabilidades se explotan y se informan durante Pwn2Own, los proveedores o desarrolladores tienen 90 días para publicar las respectivas correcciones de seguridad, tal y como lo mencionamos anteriormente.
Comentarios!
Comentarios