Pwn2Own 2019: Firefox, Safari, Edge y Tesla, hackeados

Pwn2Own 2019 es la nueva edición del concurso de hacking más importante del mundo. Se celebra anualmente en la conferencia de seguridad CanSecWest en Vancouver y este año ha ofrecido los mejores premios de su historia.

El objetivo del Pwn2Own 2019 sigue siendo el mismo establecido desde su creación. Encontrar vulnerabilidades críticas en un entorno controlado para que los proveedores mejoren la seguridad de sus desarrollos antes que puedan ser explotadas. Los participantes se comprometen a entregar toda la investigación privadamente y no hacerla pública en 90 días. A cambio, las firmas entregan suculentos premios.

Además de un gran aumento del valor de los premios en efectivo, la edición de este año se ha caracterizado por el aumento de categorías a investigar y el concurso es hoy mucho más que un registro anual sobre el estado de los navegadores web y la seguridad de los sistemas operativos como era en sus inicios. Una de las nuevas categorías ha sido la de automoción, un segmento importante ante la llegada del ‘coche inteligente’ y el ‘coche autónomo’.

Lo más noticiable fue el anuncio de Tesla del regalo de un Model 3 para quien fuera capaz de hackearlo, con seis puntos de investigación y premios que iban desde 30.000 a 300.000 dólares dependiendo de una variedad de factores incluido el exploit utilizado. Por descontado, el automóvil ha sido hackeado y entregado al grupo responsable (Fluoroacetate), que empleó un bug JIT en el proceso de renderizado del navegador web para ejecutar código en el firmware del automóvil y mostrar un mensaje en su sistema de info-entretenimiento. Además del Model 3, ganaron 35.000 dólares. Tesla ya ha anunciado una actualización para corregir la vulnerabilidad.

El equipo Fluoroacetate no se paró ahí y de hecho ha sido el gran triunfador del Pwn2Own 2019 al coronarse como ‘Maestro de Pwn’, el mayor título de la conferencia para la persona o equipo que acumule más puntos durante el concurso.

El equipo utilizó un error similar JIT para hackear Firefox, mientras que hicieron lo propio con el navegador Microsoft Edge, en este caso en una máquina virtual con VMware Workstation usando un exploit desconocido para acceder a la máquina host que funcionaba con Windows 10. Tampoco aguantó el Safari de Apple, hackeado mediante un ataque efectivo por fuerza bruta. El equipo, compuesto por dos investigadores de seguridad acumularon 36 puntos y 375.000 dólares en premios, además del Tesla.

Otros investigadores también explotaron con éxito vulnerabilidades en navegadores como Safari y Edge, en el software de máquina virtual VMware Workstation y Oracle Virtualbox, además del sistema operativo Windows 10. Si te interesa, tienes toda la información en la página del concurso y vídeos con resúmenes de las jornadas en el canal de YouTube del organizador,  TippingPoint Zero Day Initiative.