Pwn2Own es un concurso de hacking que se realiza anualmente en la conferencia de seguridad CanSecWest, a partir del 2007. Los participantes se enfrentan al desafío de explotar software y dispositivos móviles ampliamente utilizados con vulnerabilidades desconocidas hasta ahora.
Los ganadores del concurso reciben el dispositivo que explotaron, un premio en efectivo y una chaqueta “Masters” que celebra el año de su victoria. El nombre “Pwn2Own” se deriva del hecho de que los participantes deben ” pwn”o hack del dispositivo para”poseerlo”o ganarlo.
El concurso Pwn2Own sirve para demostrar la vulnerabilidad de dispositivos y software de uso generalizado y también proporciona un punto de control sobre el progreso realizado en seguridad desde el año anterior.
Sobre Pwn2Own 2020
En esta nueva edición de la Pwn2Own 2020, en este año las competiciones se llevaron a cabo virtualmente y los ataques se mostraron en línea, debido a la problemática que se ha generado por la propagación del Cornonavirus (Covid-19), siendo esta la primera vez su organizador Zero Day Initiative (ZDI), haya decidido organizar el evento permitiendo que los participantes demuestren remotamente sus hazañas.
Durante la competencia se presentaron diversas técnicas de trabajo para explotar vulnerabilidades previamente desconocidas en Ubuntu Desktop (kernel de Linux), Windows, macOS, Safari, VirtualBox y Adobe Reader.
El monto total de los pagos ascendió a 270 mil dólares (el pozo de premios total ascendió a más de 4 millones de dólares estadounidenses).
En un resumen, los resultados de dos días de la competencia Pwn2Own 2020 celebrada anualmente en la conferencia CanSecWest son los siguientes:
- Durante el primer día de Pwn2Own 2020, un equipo del Laboratorio de Software y Seguridad de Georgia Tech Systems (@SSLab_Gatech) hackeo Safari con la escalada de privilegios al nivel de kernel de macOS e iniciar la calculadora con privilegios de root. La cadena de ataque implicó seis vulnerabilidades y permitió que el equipo ganara $ 70,000.
- Durante el evento Manfred Paul de la “RedRocket” se encargo de demostrar la escalada de privilegios locales en Ubuntu Desktop a través de la explotación de una vulnerabilidad en el kernel de Linux asociada con la verificación incorrecta de los valores de entrada. Esto lo llevo a ganar un premio de 30 mil dólares.
- Tambien se realizo la demostración de salir de un entorno invitado en VirtualBox y ejecutar código con los derechos de un hipervisor, explotando dos vulnerabilidades: la capacidad de leer datos de un área fuera del búfer asignado y un error al trabajar con variables no inicializadas, el premio por demostrar este fallo fue de 40 mil dólares. Fuera de la competencia, los representantes de Zero Day Initiative también demostraron otro truco de VirtualBox, que permite el acceso al sistema host a través de manipulaciones en el entorno del huésped.
- Se mostraron dos demostraciones de escalada de privilegios locales en Windows a través de la explotación de vulnerabilidades que conducen al acceso a un área de memoria ya liberada, con ello se concedieron dos premios de 40 mil dólares cada uno.
- Obtener acceso de administrador en Windows al abrir un documento PDF especialmente diseñado en Adobe Reader. El ataque involucra vulnerabilidades en Acrobat y en el kernel de Windows relacionadas con el acceso a áreas de memoria ya liberadas (premio de 50 mil dólares).
Las nominaciones restantes no reclamadas fueron referidas por hackear Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office y Microsoft Windows RDP.
Tambien se intentó hackear VMware Workstation, pero el intento no tuvo éxito. Como en el año pasado, el hackeo de la mayoría de los proyectos abiertos (nginx, OpenSSL, Apache httpd) no entró en las categorías de premios.
Por separado, podemos observar el tema del hackeo de los sistemas de información de automóviles Tesla.
No hubo intentos de hackear Tesla en la competencia, a pesar de la prima máxima de $ 700 mil, pero hubo información separada sobre la detección de vulnerabilidad DoS (CVE-2020-10558) en Tesla Model 3, que permite deshabilitar una página especialmente diseñada en el navegador incorporado notificaciones del piloto automático e interrumpen el funcionamiento de componentes como velocímetro, navegador, aire acondicionado, sistema de navegación, etc.
