Ha concluido el primer día de actividades del evento de hacking ético Pwn2Own Vancouver 2022, entregando un total de $80,000 USD en recompensas por la explotación exitosa de más de 15 vulnerabilidades día cero en diversas implementaciones tecnológicas.
Durante esta primera jornada, los investigadores se enfocaron en la explotación de vulnerabilidades en Microsoft Teams y Windows 11. La primera falla explotada fue una configuración incorrecta en Microsoft Teams, a cargo del investigador Hector Peralta. Posteriormente, los investigadores de STAR Labs lograron abusar de una cadena de explotación sin clics compuesta por dos errores de inyección y escritura arbitraria de archivos.
Masato Kinugawa también demostró la explotación de una cadena de 3 fallas de inyección, evasión de sandbox y configuración incorrecta en Teams. Estos tres reportes fueron recompensados con $150,000 USD cada uno.
Sobre los errores en Windows 11, STAR Labs logró explotar un error de escalada de privilegios en el sistema operativo usando una falla use-after-free, obteniendo $40,000 USD más. El equipo también demostró con éxito un ataque de escalada de privilegios en Oracle VirtualBox.
Otros equipos demostraron errores en navegadores como Mozilla Firefox y Apple Safari, y en sistemas operativos como Ubuntu Desktop, obteniendo recompensas de $150,000 USD.
A lo largo del segundo día del evento, los participantes tratarán de demostrar la explotación de vulnerabilidades en navegadores web, soluciones de virtualización, servidores, comunicaciones empresariales y sistemas automotrices. Llaman la atención los intentos por abusar del sistema de información y entretenimiento de los autos Tesla Model 3, además de otros ataques en Windows 11 y Ubuntu.
Después de que finalice el evento y los reportes sean presentados, las compañías desarrolladoras tendrán un plazo de hasta 90 días para lanzar los parches de seguridad requeridos y así abordar estas fallas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.