¡Windows 10 y Microsoft Teams hackeados! Su seguridad en entredicho

abril 08, 2021 , 0 Comments

Hacker Anonymous

No existe un software 100% seguro. Todos los programas, de una forma u otra, pueden poner en peligro la seguridad de nuestro ordenador y de nuestros datos. Y cuanto más complejos son los programas, más probable y fácil es encontrar estos fallos. Por ello, tanto investigadores como desarrolladores trabajan constantemente en buscar y solucionar todos los nuevos fallos que puedan suponer un peligro para los usuarios. Y tan importante es esta labor que hasta hay concursos para buscar y explotar fallos, como el Pwn2Own.

Los fallos de seguridad en el software pueden descubrirse de tres formas diferentes. Por un lado, cada compañía (como Microsoft o Google) tienen sus propios investigadores que analizan sus productos en busca de fallos de seguridad. Por otro lado, hay empresas que se dedican a investigar estos fallos y cobrar las recompensas que ofrecen las compañías a cambio de la información para seguir reforzando la seguridad de sus productos. Y en tercer lugar están los piratas informáticos, quienes constantemente buscan nuevas debilidades en todo tipo de programas para su propio uso o para venderlas a otros piratas en el mercado negro.

Aunque durante mucho tiempo la venta de vulnerabilidades a otros piratas ha sido predominante, gracias a los programas de recompensas Bug Bounty esto se ha reducido, y es que hay muchos usuarios que prefieren reportar oficialmente un fallo y ganar dinero legal con ello antes que moverse en el mercado negro. Además, las competiciones como esta Pwn2Own permiten a grupos de hackers enfrentarse entre sí en busca de vulnerabilidades en todo tipo de programas, y ganar un buen dinero por cada fallo detectado.

Pwn2Own 2021: Windows 10, Exchange y Microsoft Teams son los primeros en caer

Ayer mismo daba comienzo la nueva competición Pwn2Own 2021. Y en su primer día se han conseguido explotar graves fallos de seguridad en tres plataformas de Microsoft.

Por un lado, un grupo de hackers (Viettel) ha conseguido una recompensa de 40.000 dólares por descubrir un fallo de seguridad de día cero en Windows 10. Este fallo podría utilizarse para que cualquier usuario del sistema consiguiera un nivel de privilegios SYSTEM en el sistema operativo.

Por otro lado, otro equipo (Devcore) ha conseguido la suma de 200.000 dólares por encontrar la forma de combinar dos fallos de Exchange, el servidor de correo. Estos dos fallos eran del tipo authentication bypass y privilege escalation, y juntos podían permitir a otros usuarios ejecutar código remoto en un servidor.

Y en tercer lugar, un investigador de seguridad individual ha conseguido 200.000 dólares al combinar dos fallos de seguridad de Microsoft Teams y conseguir ejecutar código a través de la plataforma de mensajería empresarial de la compañía.

En total, 440.000 dólares se han repartido en el primer día de la Pwn2Own 2021. Estos fallos, por supuesto, ya han sido reportados a Microsoft, quien tiene 90 días para solucionarlos antes de que se haga pública la información técnica sobre ellos.

En este primer día, también se han explotado fallos en macOS (acceso al Kernel a través de Safari) y en Ubuntu.

Veremos nuevas vulnerabilidades en los próximos días

Hoy tendrá lugar el segundo día de esta competición. Y según los planes de los investigadores, los principales objetivos serán Google Chrome, Microsoft Edge (Chromium) y Zoom Messenger. Además, otros grupos de hackers intentarán encontrar y explotar otros fallos en Windows 10, Exchange y MS Teams.

Igual que en el caso anterior, solo se demostrará la existencia del fallo, y estos se reportarán a los desarrolladores. Hasta dentro de 90 días no se podrá conocer nada de información sobre los fallos, por seguridad, para evitar que se empiecen a explotar de forma masiva en la red.



Fuente: SoftZone https://ift.tt/3cWSiU7 Autor: Rubén Velasco