Pwn2Own 2022 confirma que no existe el software invulnerable

Pwn2Own 2022 fue la nueva edición de la competencia de hacking más importante del planeta. El evento se realiza todos los años y su objetivo es encontrar vulnerabilidades críticas en un entorno controlado editores para mejorar la seguridad de sus desarrollos antes de que se exploten las fallas.

Y es que los participantes, los mejores hackers de sombrero blanco del planeta e investigadores de las principales empresas de seguridad, se comprometen a entregar toda la investigación en privado y no hacerla pública por un período mínimo de 90 días. A cambio, el concurso, organizado por la Iniciativa de día cero de Trend Micro, ofrece premios riquísimos en lo que se considera una gran inversión en lo que significa anticiparse a lo que pueda venir del cibercrimen, reforzando así la seguridad del software y de los dispositivos.

Pwn2Own 2022: nadie se resiste

Como en años anteriores, la lista de software pirateado es tan amplia como los objetivos atacados (21 productos en varias categorías) y no se salvan ni el software de código abierto ni el propietario. Windows 11, Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Apple Safari, Ubuntu Desktop o Tesla cars, fueron hackeados con éxito por diferentes equipos durante los tres días del evento.

Windows 11, el último sistema de Microsoft, ha sido uno de los objetivos favoritos de los investigadores y han demostrado seis exploits exitosos, incluidas tres vulnerabilidades de día cero. Entre las más interesantes destacan una escalada de privilegios usando técnicas Integer Overflow (overflow of buffer) y otro mediante el ataque Use-After-Free que prueba caer en la dirección de la memoria para provocar denegaciones de servicio y ejecución de código logrando el control total Equipo.

Este mismo exploit fue utilizado por dos grupos para piratear un sistema que ejecuta Ubuntu Desktop. Este es un ataque bien documentado que explota vulnerabilidades en la forma en que las aplicaciones administran la memoria. También se revelaron tres zero-days en la plataforma de comunicación Microsoft Teams y varias vulnerabilidades en los navegadores Apple Safari y Mozilla Firefox o el software de virtualización Oracle Virtualbox.

Pwn2Own 2022

También se hackeó el sistema de información y entretenimiento de los autos Tesla 3. La categoría automotriz se exhibió por primera vez en Pwn2Own 2019, ya que se consideró un segmento importante con el auge de los autos inteligentes/autónomos. En ese momento, un investigador usó un error JIT en el proceso de renderizado del navegador web para ejecutar el código en el firmware del automóvil y mostrar un mensaje en su sistema de infoentretenimiento. Tomó el auto que Tesla le dio como premio.

En total, Pwn2Own 2022 entregó $1.2 millones en premios. Una vez que se explotan y divulgan las vulnerabilidades de manera controlada, en caso de que los proveedores de software y hardware hayan 90 días para lanzar parches de seguridad de todas las vulnerabilidades reportadas.

Más información sobre Pwn2Own 2022 | Iniciativa de día cero

Via: Windows x Center

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir