Las aplicaciones y los sistemas operativos cada vez son más complejas, por lo que cada vez es más fácil cometer un error en la programación que, de ser descubierto, puede poner en peligro a los usuarios. Por ello, para encontrar estos errores para solucionarlos y animar a los expertos de seguridad a reportarlos en lugar de venderlos, se han creado plataformas como Bug Bounty y concursos como el actual Pwn2Own que animan a estos hackers a encontrar y reportar todos estos fallos, eso sí, a cambio de una recompensa.
Pwn2Own 2017 es una competición en la cual varios hackers compiten por encontrar y lograr explotar vulnerabilidades en distintas aplicaciones, siendo recompensados en función de la gravedad y complejidad de las mismas. Hace algunas horas ha dado comienzo la décima edición de esta competición y, en ella, han sido protagonistas, principalmente, los navegadores web Microsoft Edge y Safari y el sistema operativo Ubuntu, entre otros.
En esta décima edición de la competición han participado un total de 11 grupos de hackers para competir por un total de un millón de dólares.
Una de las mayores recompensas de este primer día de competición se lo ha llevado el grupo de expertos de seguridad Ether, quienes han encontrado un fallo en Microsoft Edge que puede permitir a un atacante salir de la sandbox para conseguir tomar el control de un ordenador con Windows 10. Este fallo ha sido recompensado con 80.000 dólares.
Safari, el navegador web de Apple, también ha sido una de las aplicaciones protagonistas de esta primera jornada del Pwn2Own 2017. Un grupo de expertos de seguridad ha encontrado y explotado una serie de fallos en Safari que les han permitido conseguir permisos de root en el sistema macOS. Este fallo ha sido recompensado con 35.000 dólares. Además, otro fallo importante lo han descubiertos los expertos de seguridad Samuel Grob y Niklas Baumstark, quienes han encontrado una serie de fallos en este navegador web que, combinados entre sí, pueden permitir mostrar mensajes personalizados en la Touch Bar de los nuevos Mac. Este fallo, aunque ha sido explotado parcialmente, se ha recompensado con 28.000 dólares.
El mismo grupo de hackers que ha encontrado el primer fallo en Safari ha encontrado también un fallo en el Kernel de Ubuntu que puede permitir a un atacante ganar privilegios en los sistemas vulnerables debido a un límite erróneo en la memoria. Este fallo ha sido recompensado con 15.000 dólares.
Además de las mencionadas anteriormente, durante esta primera jornada también se ha encontrado un fallo bastante importante en la librería jpeg2000 de Adobe que podía permitir filtrar información a través del Kernel de Windows. De igual manera, se ha conseguido explotar con éxito un fallo en Adobe Reader que permitía a un atacante ejecutar código de forma remota en el sistema.
Algunas aplicaciones han aguantado esta primera jornada del Pwn2Own 2017
También ha habido varios fallos potenciales que no han podido ser explotados y que han hecho que los hackers se retiren de la competición, como un error potencial en el Kernel de Windows y un posible fallo en Microsoft Edge que podía permitir a un atacante ganar privilegios en el ordenador.
Google Chrome también ha estado en el punto de mira de un grupo de hackers que, al final, no ha conseguido explotar.
En total, 233.000 dólares repartidos en esta primera jornada del Pwn2Own 2017. Aún quedan más jornadas por delante y mucho dinero que repartir, por lo que esperamos ver qué aplicaciones consiguen ser vulneradas y cuales aguantan toda la jornada infalibles.
Fuente: https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad