Windows, Ubuntu, Zoom, Safari, MS Exchange pirateado en Pwn2Own 2021

La edición de primavera de 2021 del concurso de piratería Pwn2Own concluyó la semana pasada el 8 de abril con un empate a tres bandas entre los investigadores de Team Devcore, OV y Computest Daan Keuper y Thijs Alkemade.

Se otorgó un total de $ 1.2 millones por 16 hazañas de alto perfil en el transcurso del evento virtual de tres días organizado por Zero Day Initiative (ZDI).

Los objetivos con intentos exitosos incluyeron los sistemas operativos Zoom, Apple Safari, Microsoft Exchange, Microsoft Teams, Parallels Desktop, Windows 10 y Ubuntu Desktop.

Algunos de los aspectos más destacados son los siguientes:

  • Usar una omisión de autenticación y una escalada de privilegios locales para hacerse cargo por completo de un servidor de Microsoft Exchange, por lo que el equipo de Devcore obtuvo $ 200,000
  • Encadenar un par de errores para lograr la ejecución de código en Microsoft Teams, lo que le valió al investigador OV $ 200,000
  • Un exploit de cero clic dirigido a Zoom que empleó una cadena de tres errores para explotar la aplicación de mensajería y obtener la ejecución del código en el sistema de destino. ($200,000)
  • La explotación de una falla de desbordamiento de enteros en Safari y una escritura fuera de los límites para obtener la ejecución de código a nivel de kernel ($ 100,000)
  • Un exploit dirigido al motor de renderizado JavaScript V8 para hackear los navegadores Google Chrome y Microsoft Edge (Chromium) ($ 100,000)
  • Aprovechar los errores de uso después de liberación, condición de carrera y desbordamiento de enteros en Windows 10 para escalar de un usuario normal a privilegios de SISTEMA ($ 40,000 cada uno)
  • Combinando tres fallas (una fuga de memoria no inicializada, un desbordamiento de pila y un desbordamiento de enteros) para escapar de Parallels Desktop y ejecutar código en el sistema operativo subyacente ($ 40,000)
  • Explotación de un error de corrupción de memoria para ejecutar con éxito el código en el sistema operativo host desde Parallels Desktop ($ 40,000)
  • La explotación de un error de acceso fuera de los límites para pasar de un usuario estándar a root en Ubuntu Desktop ($ 30,000)

El Zoom vulnerabilidades explotados por Daan Keuper y Thijs Alkemade de Computest Security son particularmente dignos de mención porque las fallas no requieren interacción de la víctima más que ser un participante en una llamada de Zoom. Además, afecta a las versiones de la aplicación para Windows y Mac, aunque no está claro si las versiones de Android e iOS también son vulnerables.

Los detalles técnicos de las fallas aún no se han revelado, pero en un comunicado que comparte los hallazgos, la firma de seguridad holandesa dijo que los investigadores «pudieron controlar casi por completo el sistema y realizar acciones como encender la cámara, encender el micrófono, leer correos electrónicos, revisar la pantalla y descargar el historial del navegador».

Cuando se le solicitó una respuesta, Zoom dijo que impulsó un cambio en el lado del servidor para corregir los errores, y señaló que está trabajando para incorporar protecciones adicionales para resolver las deficiencias de seguridad. La compañía tiene una ventana de 90 días para abordar los problemas antes de que se hagan públicos.

«El 9 de abril, lanzamos una actualización del lado del servidor que defiende contra el ataque demostrado en Pwn2Own en Zoom Chat», dijo un portavoz de la compañía a The Hacker News. «Esta actualización no requiere ninguna acción por parte de nuestros usuarios. Continuamos trabajando en mitigaciones adicionales para abordar completamente los problemas subyacentes».

La compañía también dijo que no tiene conocimiento de ninguna evidencia de explotación activa por estos problemas, aunque señaló que las fallas no afectan el chat en sesión en Zoom Meetings, y que el «ataque solo puede ser ejecutado por un contacto externo que el objetivo haya sido aceptado previamente o sea parte de la misma cuenta organizacional del objetivo».

La investigadora independiente Alisa Esage también hizo historia como la primera mujer en ganar Pwn2Own después de encontrar un error en el software de virtualización Parallels. Pero solo obtuvo una victoria parcial debido a que el problema se había informado a ZDI antes del evento.

«Solo puedo aceptar como un hecho que mi exitosa participación en Pwn2Own atrajo el escrutinio de ciertos puntos discutibles y potencialmente obsoletos en las reglas del concurso», Esage tuiteóy agregó: «En el mundo real no existe tal cosa como un ‘punto discutible’. Un exploit rompe el sistema de destino o no».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática