Conecta con nosotros

Noticias

Pwn2Own 2017: Edge fue hackeado 5 veces, Chrome se mostró infranqueable

Publicado

el

Pwn2Own 2017

Pwn2Own 2017 es un concurso hacker que tiene como objetivo poner a prueba la seguridad de sistemas operativos o navegadores. Está patrocinado por algunas grandes tecnológicas y los participantes (hackers profesionales y especialistas en seguridad) tienen que preparar exploits para romper la seguridad en un tiempo determinado y lograr fama y dinero, porque las recompensas son muy generosas.

El Pwn2Own 2017 celebraba este año su décimo aniversario y como habrás visto en el titular, hay un «perdedor» en el segmento de navegadores. Y lo decimos entre comillas porque cada hack descubierto en un desarrollo lo hace más seguro. Y siempre es mejor que las vulnerabilidades sean reveladas en un concurso de especialistas en seguridad y no por los «malos» que inundan la Red de malware. Además, hay que señalar que Edge fue el navegador al que se dirigieron un mayor número de ataques.

Dicho lo cual, Microsoft tiene trabajo con el navegador exclusivo de Windows 10, Edge, porque fue hackeado 5 veces durante Pwn2Own 2017, el que más de todo el concurso. Escrito desde cero en casi toda la parte de su código y con el añadido de tecnologías sandboxing, Edge es más seguro que Internet Explorer como se mostró en el Pwn2Own del pasado año. Sin embargo, no se ha mostrado bastante seguro cuando se enfrenta a especialistas en este tipo de concursos.

Un equipo de Tencent Security fue el primero en hackear Edge a través de una escritura arbitraria en el motor de JavaScript, Chakra. También usaron un error lógico para escapar del sandbox. El equipo logró 80.000 dólares por el hackeo. El hack más espectacular llegó de 360 Security, aprovechando un error de desbordamiento de pila y realizando el hackeo desde una máquina virtual VMware Workstation hacia el sistema anfitrión. Se llevaron 105.000 dólares de premio. El resto utilizó otras vulnerabilidades, incluyendo un desbordamiento de memoria en el kernel Windows.

Cómo le fue al resto de navegadores

Frente a los ataques a Edge, solo hubo un intento de hackear Chrome. Lo realizó Tencent Security pero no logró concluirlo en el tiempo asignado. No se conoce si lo hubieran logrado con más tiempo o tal vez Google ya había descubierto el error y estaba parcheado. En todo caso, Chrome logró terminar el concurso impoluto.

Tres equipos diferentes fueron capaces de hackear Safari, revelando al menos 9 vulnerabilidades. El navegador de Apple no ha destacado nunca en estas pruebas y todos los años es hackeado ampliamente por varios equipos.

Firefox estaba de vuelta en el Pwn2Own de este año después de haberse perdido el año pasado, dicen las malas lenguas, porque el navegador hubiera sido demasiado fácil de piratear. Durante este tiempo ha ganado tecnologías sandboxing parciales y parece que se ha notado. Hubo dos intentos de hackeo y solo uno de ellos fue exitoso, un desbordamiento de enteros para acceder al núcleo de Windows y elevar los privilegios del sistema.

Pwn2Own-navegadores

Pwn2Own 2017: Mejora de la seguridad global

Como sabes, ningún detalle técnico de la sucedido en la conferencia se hace público, porque todos los hacks exitosos y las vulnerabilidades descubiertas son comunicadas a las compañías afectadas para su parcheo.

El hackeo conseguido en este tipo de concursos no significan necesariamente que los usuarios estén expuestos a los ataques. Las vulnerabilidades suelen ser desconocidas y no explotables a corto plazo. Tiempo sobrado para que los proveedores puedan parchear su desarrollo. Especialmente Microsoft con Edge, para el que se espera una gran actualización con la nueva versión de Windows 10, Creators Update.

Vía | Tom’s Hardware – Resultados Pwn2Own 2017

Lo más leído