Pwn2Own 2022 confirma que no existe el software invulnerable

Pwn2Own 2022 ha sido la nueva edición del concurso de hacking más importante del planeta. El evento se celebra anualmente y su objetivo es encontrar vulnerabilidades críticas en un entorno controlado para que los proveedores mejoren la seguridad de sus desarrollos antes de que los fallos puedan ser explotados.

Y es que los participantes, los mejores hackers de sombrero blanco del planeta e investigadores de las grandes firmas de seguridad, se comprometen a entregar toda la investigación privadamente y no hacerla pública durante un periodo mínimo de 90 días. A cambio, el concurso, organizado por el Zero Day Initiative de Trend Micro, entrega suculentos premios en lo que se considera una gran inversión por lo que significa adelantarse a lo que pueda llegar del cibercrimen, reforzando con ello la seguridad del software y los dispositivos.

Pwn2Own 2022: nadie se resiste

Como en años anteriores, la lista de software hackeado es tan amplia como los objetivos atacados (21 productos en varias categorías) y no se libran ni el software de código abierto ni el propietario. Windows 11, Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Apple Safari, Ubuntu Desktop o los automóviles Tesla, fueron hackeados con éxito por varios equipos durante los tres días de celebración del evento.

Windows 11, el último sistema de Microsoft, ha sido uno de los objetivos preferentes por los investigadores y se mostraron seis exploits exitosos, tres de ellos vulnerabilidades Zero-Day. Entre los más interesantes destacaron una escalada de privilegios usando técnicas Integer Overflow (desbordamiento de buffer) y otro mediante el ataque Use-After-Free que aprovecha fallos en la dirección de la memoria para provocar denegaciones de servicio y ejecución de código logrando el control total del equipo.

Este mismo exploit fue utilizado por dos grupos para piratear un sistema que ejecutaba Ubuntu Desktop. Es un ataque bien documentado que aprovecha vulnerabilidades en la forma que las aplicaciones administran la memoria. También se revelaron tres zero-day en la plataforma de comunicación Microsoft Teams y diversas vulnerabilidades en los navegadores Apple Safari y Mozilla Firefox o el software de virtualización Oracle Virtualbox.

También fue hackeado el sistema de info-entretenimiento de los automóviles Tesla 3. La categoría de automoción fue estrenada en el Pwn2Own de 2019, ya que se consideró como un segmento importante ante el aumento de coches inteligentes/autónomos. Ya entonces un investigador empleó un bug JIT en el proceso de renderizado del navegador web para ejecutar código en el firmware del automóvil y mostrar un mensaje en su sistema de info-entretenimiento. Se llevó el coche que Tesla entregó como premio.

En total, el Pwn2Own 2022 ha entregado 1,2 millones de dólares en premios. Después de que las vulnerabilidades se explotan y divulgan de manera controlada en el evento los proveedores de software y hardware tienen 90 días para publicar las correcciones de seguridad correspondientes de todas las vulnerabilidades informadas.

Más información del Pwn2Own 2022 | Zero Day Initiative