martes, 26 de marzo de 2019

Firefox, Edge, Safari y Tesla hackeados en el Pwn2Own 2019

A principios de esta semana, comenzó el Pwn2Own Vancouver 2019 con participantes de todo el mundo. Este año fue la primera vez en la historia del concurso en incluir una categoría automotriz. El evento fue patrocinado por Microsoft, VMware y Tesla.



A lo largo de tres días, se organizaron numerosos eventos que vulneraron varios programas y sistemas operativos. Entonces, hablemos de ellos uno por uno junto con el dinero del premio por cada hack. 



Nota: Cada uno de estos hacks se realizó utilizando algún tipo particular de errores/exploits. Puedes consultar recursos externos como Wikipedia para conocer los detalles.
pwn2own vancouver 2019
Safari
El equipo de Fluoroacetate (el dúo de Amat Cama y Richard Zhu) pudo vulnerar con éxito el navegador de Apple. El equipo omitió la función de la sandbox utilizando un desbordamiento de enteros y un desbordamiento de pila. Su técnica de fuerza bruta les valió una hermosa recompensa de $55,000.

En otro evento, el equipo phoenhex & qwerty derribó a Safari con la ayuda de la elevación del núcleo. Activaron un error JIT al navegar por su sitio web y luego intentaron explotar un error de tiempo de verificación (TOCTOU, por sus siglas en inglés). Como Apple ya es consciente de uno de los errores, se consideró una victoria parcial. Sin embargo, el equipo terminó ganando $ 45,000.

El equipo de Fluoroacetate también se enfocó en el navegador web Firefox mediante la explotación de un error JIT. Fue seguido por una escritura fuera de los límites en el kernel de Windows. Finalmente, visitaron un sitio especialmente diseñado y terminaron ganando $ 50,000.

Otro intento de hackear Firefox fue hecho por Niklas Baumstark quien también usó el error JIT y el error lógico para engañar a la sandbox. Recibió $ 40,000 en premios.

Microsoft Edge
En caso de que te lo preguntes, Fluoroacetate no perdonó al navegador Edge de Microsoft. Abrieron Edge a través de una estación de trabajo VMWare y utilizaron una vulnerabilidad para eliminar el host de Windows subyacente. Esta victoria les valió un premio enorme de $130,000.

Edge fue atacado aún más por Arthur Gerkis, de Exodus Intelligence, quien usó un doble error libre seguido de un error lógico para evitar la sandbox. Ganó un premio de $50,000.

Por último, pero no menos importante, Tesla se convirtió en el objetivo final del prolífico dúo de fluoroacetato. Hackearon un Tesla Model 3 explotando un error JIT, y usaron su navegador web para mostrar su mensaje. Ganaron $35,000 en premios, así como el Tesla Model 3.

Vale la pena señalar que el equipo de fluoroacetato también dominó el Pwn2Own Tokyo en el pasado. En el transcurso de tres días, ganaron $ 375,000 y el merecedor título de Master of Pwn para 2019.

Con respecto a las vulnerabilidades y los errores que se muestran en el evento, se proporcionarán todos los detalles a las compañías en el sitio para ayudarles a lanzar sus parches. Después de 90 días, los detalles de los errores se harán públicos.

¿Qué te parece estos hacks? Por favor comparte el post en las redes sociales.


Fuente: Fossbytes

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.