En las televisiones de nuestro país estamos acostumbrados a ver los concursos más extraños y variopintos. Lejos ya del «1,2,3 responda otra vez» y del «humor amarillo» de los japoneses, hoy en día nos entretenemos viendo superproducciones de famosos aislados en islas desiertas, o cosas por el estilo.
Hay un concurso anual que para nosotros suele pasar inadvertido, pero tiene una gran cantidad de seguidores a nivel mundial. Se trata del «Pwn2Own«, donde se pone a prueba a los hackers más famosos haciéndoles «reventar» diferentes sistemas en directo. Uno de ellos ha ganado un buen pellizco al hackear un exploit de Safari.
Cada año, la Zero Day Initiative organiza un concurso de hacking denominado «Pwn2Own» donde los investigadores de seguridad pueden ganar dinero si encuentran vulnerabilidades graves en directo en las principales plataformas como Windows y macOS.
Este evento virtual «Pwn2Own 2021» comenzó a principios de esta semana y contó con 23 intentos de hacking separados en 10 productos diferentes, incluidos navegadores web, virtualización, servidores y demás. Un concurso de varias horas al día durante tres jornadas consecutivas, retransmitido en directo en YouTube.
Los sistemas de Apple no fueron muy atacados en esta edición del concurso, pero el primer día, Jack Dates de RET2 Systems ejecutó un exploit de Safari «to kernel zero-day» y se ganó 100.000 dólares. Utilizó un desbordamiento de enteros en Safari y una escritura OOB para obtener la ejecución de código a nivel del núcleo, como certifica el tweet de la organización.
Congratulations Jack! Landing a 1-click Apple Safari to Kernel Zero-day at #Pwn2Own 2021 on behalf of RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
— RET2 Systems (@ret2systems) April 6, 2021
No solo hackearon Safari
Otros intentos de hacking durante el evento «Pwn2Own» se dirigieron a Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome y Microsoft Edge, obteniendo más o menos fortuna.
Por ejemplo, los investigadores holandeses Daan Keuper y Thijs Alkemade, demostraron un grave defecto de seguridad en Zoom. El dúo explotó un trío de defectos para obtener el control total de un PC de destino usando la aplicación Zoom sin interacción del usuario.
Los concursantes de Pwn2Own recibieron más de 1,2 millones de dólares en recompensas por los errores que descubrieron. Pwn2Own da a proveedores como Apple 90 días para producir una corrección de las vulnerabilidades que se descubren, por lo que podemos esperar que el error se aborde en una próxima actualización.
