Conecta con nosotros

Noticias

Safari, Chrome y Flash son hackeados

Publicado el

La primera jornada de la última edición de la competición de hacking Pwn2Own se ha celebrado recientemente, y los grandes objetivos de la misma han sido los navegadores Safari, Chrome y Microsoft Edge, y la todavía muy presente pero en decadencia tecnología Adobe Flash, según  informa hoy Computerworld. En algunos casos por duplicado. De los seis ataques llevados a cabo por los participantes (cuatro equipos y un investigador que actuaba de manera independiente), cuatro fueron exitosos, uno logró parcialmente su objetivo y un sexto no obtuvo resultados. Los objetivos, definidos por la organización de la competición, eran los siguientes:

  • El navegador web Safari, de Apple, en Mac OS X
  • El navegador Google Chrome en Windows
  • El navegador Microsoft Edge en Windows
  • El plugin Flash Player en Windows

El objetivo era detectar vulnerabilidades desconocidas hasta el momento (zero-day) y ser capaces de aprovecharlas para obtener acceso no autorizado al sistema en el que se está ejecutando el software cuya seguridad se pone a prueba en Pwn2Own (es lo que se denomina una escalada de privilegios) y que por lo tanto compromete la seguridad de los usuarios de dicho software. Los participantes en el mismo obtuvieron cuantiosos premios económicos, que se suman al reconocimiento por parte de la comunidad.

El grupo de hackers chino 360Vulcan fue, sin duda, el que mejores resultados obtuvo: por una parte combinaron una vulnerabilidad de Flash Player con otra del núcleo de Windows para, remotamente, lograr acceder a funciones del sistema para las que normalmente es necesario disponer de una cuenta en el mismo. Por dicho ataque obtuvieron 80.000 dólares, 60.000 por detectar la vulnerabilidad de Flash y los otros 20.000 por combinarla con la de Windows para lograr el acceso al sistema.

Por otra parte, también fueron capaces de llevar a cabo un ataque con el mismo objetivo empleando Google Chrome. Para tal fin utilizaron cuatro vulnerabilidades (dos de Flash, una de Chrome y otra de Windows), si bien en este caso se consideró sólo un éxito parcial, ya que pese a que los hackers lo desconocían, el agujero de seguridad de Chrome ya había sido previamente puesto en conocimiento de Google por parte de un investigador independiente. No obstante, el grupo obtuvo una recompensa de 52.500 dólares por este segundo ataque, por lo que en un sólo día de Pwn2Own se embolsaron 132.500 dólares.

El investigador surcoreano JungHoon, conocido en el mundo del hacking como lokihardt, detectó y combinó cuatro vulnerabilidades con las que atacando a un sistema con Safari corriendo en Mac OS X logró llevar a cabo una escalada de privilegios. ¿Su premio? 60.000 dólares, 40.000 por detectar el agujero de seguridad del navegador de Apple y otros 20.000 (al igual que 360Vulcan en su primer premio de la jornada) por la escalada de privilegios en el sistema atacado. Hay que recordar que en la pasada edición de Pwn2Own lokihardt fue el gran vencedor, llevándose a casa 225.000 dólares, casi la mitad del presupuesto total de los premios.

Por su parte, el grupo chino de empresas Tencent ha presentado a tres equipos al concurso, todos formados por trabajadores de las empresas del mismo. Uno de ellos, el denominado Tencent Security Team llevó a cabo un ataque contra Safari para lograr la ejecución de código no autorizado en el navegador. Para tal fin combinaron dos vulnerabilidades del navegador de Apple, que sumadas supusieron un éxito en el ataque y un premio de 40.000 dólares.

El segundo equipo del consorcio de empresas, llamado Sniper, llevó a cabo un ataque contra Flash Player sobre Windows, gracias al cual logró una escalada de privilegios en el sistema atacado, que se tradujo en un premio de 50.000 dólares. Por su parte, el tercer equipo de Tencent, Xuanwu Lab intentó llevar a cabo un ataque contra Flash Player corriendo sobre Microsoft Edge, pero en este caso el ataque no fue exitoso.

Así, durante el primer día de la competición se han detectado 15 nuevas vulnerabilidades (de las que ya han sido informadas las empresas responsables del software que las sufre) y se han repartido 285.000 dólares en premios, de un presupuesto de aproximadamente 600.000 para el total del concurso. Los patrocinadores de la edición de Pwn2Own de este año son Hewlett Packard Enterprise y Trend Micro, y gracias a la financiación que aportan a este tipo de eventos los agujeros de seguridad que son detectados llegan rápidamente a las tecnológicas relacionadas con los mismos, en vez de a manos con aviesas intenciones.

Imagen: Fake Hack Screen, de Creative Film

Lo más leído