Todo tipo de aplicaciones y sistemas operativos son, cada vez, más complejos a nivel interno, lo que hace que un mínimo despiste en la programación pueda poner en peligro a los usuarios. Por ello, existen plataformas, como la Bug Bounty, y competiciones como Pwn2Own, que llaman a hackers y expertos de seguridad de todo el mundo para que, a cambio de una recompensa, les ayuden a encontrar fallos en los programas y sistemas operativos más utilizados antes que los piratas informáticos y poder, así, hacerlos cada vez más seguros.
Pwn2Own es una competición de hackers organizada por la empresa de seguridad Trend Micro en la que distintos grupos de hackers y expertos de seguridad intentan explotar distintos fallos de seguridad en aplicaciones y sistemas operativos muy utilizados a cambio de distintas recompensas económicas en función de la gravedad de los fallos.
A finales de la semana pasada, los hackers de esta competición consiguieron romper la seguridad de Windows, Edge, Safari, Ubuntu y varias aplicaciones de Adobe, pero los navegadores web más utilizados, Google Chrome y Mozilla Firefox, permanecían inviolables, aunque todo era cuestión de tiempo.
Uno de los grupos participantes, Chaitin Security Research Lab, de China, consiguió explotar un fallo de seguridad desconocido en Firefox causando un desbordamiento del búfer del navegador para conseguir ganar privilegios dentro del Kernel de Windows.
Este fallo ha sido registrado como CVE-2017-5428 y fue recompensado con 30.000 dólares. Una vez que se descubren los fallos, estos son reportados a los principales desarrolladores, quienes tienen la responsabilidad de solucionarlos. Mozilla, por su parte, ha sido una de las empresas que menos ha tardado en actualizar el navegador para corregir esta vulnerabilidad, y es que en tan solo 22 horas ya se liberaba el primer parche de la versión 52 de Firefox centrado en corregir esta vulnerabilidad.
Esta nueva versión de Firefox llegará automáticamente a los usuarios del navegador, aunque también podemos descargarla desde su página web principal.
Google Chrome sí que ha sido capaz de permanecer toda la competición sin ser hackeado. Sin duda, una gran noticia para Google, ya que no será porque no lo han intentado los competidores.
Firefox no es el mayor perjudicado del Pwn2Own 2017. La vulnerabilidad más grave y el exploit más original se lo lleva VMware.
Las aplicaciones que han podido ser hackeadas durante esta convención han sido Windows, Windows Server, macOS, Ubuntu, Adobe Reader, Adobe Flash Player, Microsoft Edge, Safari, Firefox y VMWare.
En el caso de esta última, además, los hackers que han conseguido explotar su seguridad se han llevado el máximo premio de la competición, 105.000 euros, debido tanto a la peligrosidad del fallo como a la originalidad del mismo. Estos expertos de seguridad han conseguido crear una página web maliciosa que, al entrar a ella desde Microsoft Edge desde una máquina virtual de VMware Workstation, ha sido posible salirse de los límites del búfer, conseguir permisos en el Kernel de Windows y, desde él, ejecutar un exploit capaz de salirse de la máquina virtual y lograr tomar el control del sistema físico real.
Por el momento, VMware aún no ha corregido este fallo de seguridad, un fallo realmente preocupante ya que rompe por completo la seguridad que, en teoría, nos dan las máquinas virtuales para evitar poner en peligro nuestro sistema real.
¿Has actualizado ya Firefox para protegerte de este fallo?