Los investigadores que participaron en el concurso de hacking Pwn2Own esta semana demostraron exploits de ejecución de código remoto contra los cuatro navegadores principales y también vulneraron los ampliamente utilizados plugins de Adobe Reader y Flash Player.

El jueves, el investigador de seguridad de Corea del Sur y hacker serial de navegadores, JungHoon Lee, conocido en línea como lokihardt, explotó sin ayuda Internet Explorer 11 y Google Chrome en Microsoft Windows, así como Safari de Apple en Mac OS X.

Salió con los 225,000 dólares del premio, que no incluyen el valor de las nuevas laptops en las que los exploits fueron demostrados y que el ganador puede llevarse a casa.

El concurso Pwn2Own se lleva a cabo cada año en la conferencia de seguridad CanSecWest en Vancouver, Canadá y es patrocinado por el programa Iniciativa Día Cero de Hewlett-Packard.

El concurso enfrentó a investigadores contra las últimas versiones de los cuatro principales navegadores para demostrar ataques web que pueden ejecutar código malicioso en los sistemas subyacentes.

El ataque de Lee a Google Chrome le otorgó la más grande recompensa por un solo exploit en la historia de la competencia: 75 mil dólares por el fallo en Chrome, 25 mil extra por escalar a privilegios de la cuenta SYSTEM y otros 10 mil por, además, atacar a la versión beta del navegador, un total de 110 mil dólares.

El exploit de Internet Explorer 11 consiguió 65 mil adicionales y el de Safari 50 mil.

El logro de Lee es particularmente impresionante porque compitió solo, a diferencia de otros investigadores que hicieron equipo, dijo el grupo de investigación en seguridad de HP en una publicación de su blog.

También el jueves, un investigador que usa el alias ilxu1a explotó Mozilla Firefox en Windows por un premio de 15 mil dólares. También intentó un exploit para Chrome pero se le acabó el tiempo antes de que consiguiera ejecutar el código de su ataque.  

Mozilla Firefox también fue vulnerado el miércoles, durante el primer día de la competencia, por un investigador llamado Mariusz Mlynski. Su exploit también aprovechó un defecto en Windows para ganar privilegios de SYSTEM, otorgándole un bono de 25 mil dólares, además del monto estándar de $30,000 por vulnerar Firefox.

Los investigadores chinos de Team509 y KeenTeam unieron fuerzas para explotar Flash Player ejecutándose en Internet Explorer 11 sobre Windows. También combinaron su ataque con un defecto en el kernel de Windows que permitía escalar privilegios, por un premio total de $85,000 dólares.

Adobe Reader y Flash Player también fueron exitosamente vulnerados por Nicolas Joly, quien compitió por la firma francesa de seguridad Vupen en el pasado. Salió con un premio de $90,000 por sus exploits.

La mayoría de los ataques demostrados en Pwn2Own este año requirieron concatenar varias vulnerabilidades para pasar todos los mecanismos de defensa puestos en los sistemas operativos y navegadores para prevenir la ejecución remota de código.

El conteo final de vulnerabilidades explotadas este año queda de la siguiente forma: cinco defectos en Windows OS, cuatro en Internet Explorer 11, tres en Mozilla Firefox, Adobe Reader y Flash Player, dos en Safari y uno en Google Chrome. Todos los fallos fueron reportados a los vendedores afectados después del concurso, como parte de las reglas de la competencia.