Concurso anual de vulnerabilidad incluye ataques contra Safari, Edge y Chrome.
Hackers de sombrero blanco ganaron $460.000 de premio por la explotación de 21 vulnerabilidades de seguridad, en software muy utilizados. Los detalles de las fallas fueron compartidas en privado con los proveedores para que su código se fije y añada seguridad a las actualizaciones de su lanzamiento al público. Es una situación en la que no hay nada que perder.
El concurso Pwn2Own se utiliza para ver cómo los expertos comprometen software para ganar premios.
Concurso de dos días
► En el primer día de la competición (de dos días) se tuvo un total de 15 nuevas vulnerabilidades. Safari, Chrome y Flash Player fueron hackeadas, algunas en múltiples ocasiones. Hubo seis intentos, cuatro tuvieron éxito, uno fue un éxito parcial y uno fallido.
Ese día, cinco equipos ganaron $282.500 dólares en premios. Y al final del día 1, 360Vulcan Team está a la cabeza por el título de “Maestro de PWM con 25 puntos”.
► El segundo día comenzó con dos intentos fallidos para explotar vulnerabilidades en el navegador Chrome de Google y un Adobe Flash dificil de explotar por el equipo Tencent Security Team Sniper.
Tencent Security Team Sniper se recuperó con éxito y realizó exploits al navegador de Microsoft Edge, y fue coronado como “Maestro de PWM para Pwn2Own 2016” con 38 puntos.
Un total de 21 vulnerabilidades
En resumen, en el concurso de hacking, el resumen final fue:
- Microsoft Windows fue explotada en 6 ocasiones
- Apple OS X: 5 ocasiones
- Adobe Flash: 4 ocasiones
- Apple Safari: 3 ocasiones
- Microsoft Edge: 2 ocasiones
- Google Chrome: 1 ocasión (aunque este ataque era una copia de una vulnerabilidad reportada de manera independiente)
Pwn2Own 2016 se llevó a cabo durante dos días junto a la conferencia de seguridad CanSecWest y patrocinada por la empresa Hewlett Packard, Trend Micro, y Zero Day Initiative.
Informes de Trend Micro del día uno y día dos de la competencia proporcionan más detalles.
El evento fue, a todas luces, un gran éxito. Los investigadores se ven recompensados por su trabajo y el software de los desarrolladores a obtener un heads-up (prevención) en los problemas. Sin embargo, el Acuerdo de Wassenaar limita la participación de investigadores de la UE.
Acuerdo de Wassenaar cubre la exportación de armamento, que, en estos días, incluye municiones cibernéticas. Partes del acuerdo Wassenaar en cibernética incluyen una prohibición general de las herramientas utilizadas por los investigadores de seguridad en prueba de software – como fuzzers – lo que habría de ser prohibido de exportación.
¿Y Linux? el sistema operativo se encuentra fuera del enfoque de Pwn2Own.
► Referencia: Pwn2Own: Day 1 Recap