Lo que nos dejó Pwn2Own 2014


Los días 12 y 13 de marzo se celebró una nueva edición del Pwn2Own, el  concurso donde expertos en seguridad  descubren  vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins. Los participantes se llevan importantes premios económicos.

Como muchos ya sabéis, Pwn2Own es el evento anual que desde 2007 aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos, así como aplicaciones populares : Adobe Reader, Flash y Java.....

 
Pwn2Own, que este año a tenido lugar en la ciudad canadiense de Vancouver, está patrocinado por la empresa Zero Day Initiative (ZDI) de HP, una compañía que se encarga de poner en contacto a investigadores de seguridad y compañías de software para garantizar una publicación coordinada de vulnerabilidades.    
 
En esta edición las metas fueron:

Navegadores:
Google Chrome en Windows 8.1 x64: $ 100,000 USD
Microsoft Internet Explorer 11 en Windows 8.1 x64: $ 100,000 USD
Mozilla Firefox 8.1 en Windows x64: $ 50,000 USD
Apple Safari en OS X Mavericks: $ 65,000 USD

Plug-ins:
Adobe Reader que se ejecuta en Internet Explorer 11 en Windows 8.1 x64: $ 75,000 USD
Adobe Flash en Internet Explorer 11 en Windows 8.1 x64: $ 75,000 USD
Oracle Java que se ejecuta en Internet Explorer 11 en Windows 8.1 x64 (requiere derivación de click-through): $ 30,000 USD


Durante el trascurso de esta edición:
 
El Navegador Internet Explorer de Microsoft fue explotado con éxito, el 12 de marzo por la firma de investigación de seguridad VUPEN y luego otra vez el 13 de marzo por los investigadores de seguridad Sebastian Apelt y Andreas Schmidt. Apelt y Schmidt explotaron un par de fallos de memoria de uso después de liberación de explotar IE.

Flash fue comprometido los dos días del evento Pwn2Own por el equipo VUPEN y el equipo chino Keen.

El equipo Keen también explotó Safari y fue el único grupo de seguridad en hacerlo. El grupo fue capaz de ejecutar un desbordamiento de heap de memoria, junto con un sandbox bypass para explotar el navegador web de Apple, logrando asi lanzar la Calculadora como root en Mac OS X ....O_o.


Mientras que los navegadores Web IE, Chrome y Safari fueron todos atacados y explotados en Pwn2Own, el navegador más explotado en el evento en términos del número total de nuevos ataques de Zero day fue Mozilla Firefox.
  
El gran triunfador de la primera jornada fue la  firma de investigación francesa VUPEN, que ha logró gran parte de los 400.000 dólares (286.000 euros) que se otorgaron.
 
En el primer día del evento, Firefox fue explotado en tres ocasiones diferentes. En el segundo día fue explotado una vez más, con lo que la cifra total fue de cuatro.

Mozilla tiene un historial de parcheo rápido con los Zeroday expuestos en eventos como Pwn2Own. ¿A qué velocidad va Mozilla parchear las cuatro fallas de día cero primero presentados en Pwn2Own 2014?

Sid Stamm, gerente de ingeniería de alto nivel de seguridad y privacidad de Mozilla, dijo a eWEEK que la empresa cree que el riesgo de que los usuarios sean comprometidos por los cuatro bug expuestos es bajo ya que no son conocidos públicamente. Y "estamos trabajando rápidamente para hacer frente a cada uno de estos bugs y esperamos entregar las soluciones de la próxima semana", dijo Stamm.

HP cuenta con una política de divulgación responsable en la que los errores descubiertos en Pwn2Own se comunicarán de inmediato a los vendedores y los detalles no se liberan públicamente. Estamos seguros de que los usuarios de Firefox no tendrán que esperar mucho tiempo para una actualización.

Mozilla ha tenido su propio programa de recompensas de errores de seguridad del navegador desde 2004 para mantener a los usuarios de Firefox a salvo.

En cuanto a por qué Firefox es el navegador más explotado en el evento de 2014 Pw2Own el dinero probablemente juega un papel clave.

"Pwn2Own ofrece grandes incentivos financieros a los investigadores para exponer las vulnerabilidades y puede haber contribuido en parte a la decisión de los investigadores de esperar hasta ahora para compartir su trabajo y ayudar a proteger a los usuarios de Firefox", dijo Stamm. "Mozilla también ofrece recompensas financieras en nuestro programa de recompensas de errores, y el éxito de este programa ha inspirado a otras empresas a seguir su ejemplo."

En resumen los grandes ganadores de esta edición han sido los franceses VUPEN que han amasado nada más y nada menos que 400.000 dólares explotando Internet Explorer 11, Adobe Reader XI, Google Chrome, Adobe Flash, y Mozilla Firefox en Windows 8.1 64 bits, y usando un total de 11 vulnerabilidades de tipo zero-day ¡¡¡distintas!!!

 
Y este año también resaltar una mención especial a Liang Chen de Keen Team y Zeguang Zhao de team509 por comprometer Apple Safari en Mac OS X Mavericks y Adobe Flash en Windows 8.1, consiguiendo también la nada despreciable cifra de 140.000 dólares.

Comentarios