Investigadores que participaron en el concurso de hackeo Pwn2Own esta semana demostraron ejecuciones de exploits con código remoto en los cuatro navegadores más populares, además hackearon Adobe Reader y los plug-ins del Flash Player.
El jueves, el investigador de seguridad y hacker serial de navegadores sur coreano Jung Hoon Lee, conocido en línea como lokihardt, vulneró Internet Explorer 11 y Google Chrome en Microsoft Windows, así como Safari en Mac OS X.
El concurso Pwn2Own ocurre anualmente en la conferencia de seguridad CanSecWest en Vancouver, Canada, y es patrocinada por la iniciativa Zero Day de Hewlett-Packard. Este concurso enfrenta a investigadores contra versiones de 64-bits de los navegadores más populares, con el fin de mostrar ataques basados en la red que pueden ejecutar código en sistemas básicos.
El ataque de Lee contra Chrome le hizo ganador de la mayor paga por un exploit en la historia de la competencia: $75,000 por un bug de Chrome, y $25,000 por una escalada de privilegios a SYSTEMA, y otros $10,000 por también atacar la versión beta del navegador, haciéndole merecedor de $110,000 dólares.
El exploit en IE11 le hizo ganar $65,000 dólares adicionales, mientras que el hack a Safari le dio $50,000.
El logro de Lee es impresionante porque lo hizo solo, contrario a otros investigadores que compitieron en equipo. El equipo de seguridad de HP comentó en una publicación en su post.
Además, el jueves, un investigador que se le conoce como ilxu1a vulneró Firefox en Windows por $15,000 dólares. Además intento un exploit en Chrome, pero se le acabó el tiempo antes de que pudiera lograrlo.
Firefox también fue hackeado el miércoles, en el primer día de la competencia, por un investigador llamado Mariusz Mlynski. Su exploit obtenía privilegios gracias a una falla en Windows con el que podía obtener privilegios en SYSTEM, otorgándole un bono de $25,000 dólares, sobre los $30,000 gracias al hack a Firefox.
La mayoría de estos ataques demostrados en Pwn2Own este año requirieron encadenar varias vulnerabilidades con el fin de sobrepasar los mecanismos de defensa que tienen los sistemas operativos y navegadores para evitar la ejecución de código remoto.
La cuenta final de las vulnerabilidades explotadas este año son las siguientes: 5 fallas en Windows OS, cuatro en Internet Explorer 11, tres en Mozilla Firefox, Adobe Reader, and Flash Player, dos en Safari y una en Google Chrome. Todos los bugs fueron reportados a los fabricantes afectados, como parte de las reglas de la competencia.