Ubuntu hackeado en la Pwn2Own 2017

Linux ha entrado en competición en la Pwn2Own 2017 representado por Ubuntu su distro más popular y ha caído abatido por los cazadores de vulnerabilidades en el primer día de la conferencia, debido a un fallo detectado en el Kernel.

Un error de desbordamiento de buffer con escritura fuera de los límites (out-of-bounds) que ha descubierto el equipo chino Chaitin Tech, y por el que han recibido un premio de 15 000 dólares.

Como veis en la imagen que abre el post, para ilustrar el ataque eligieron la aplicación de calculadora xcalc (así como calc utilizado para hacer operaciones en la terminal) y de alguna manera consiguieron ganar acceso de root, mediante un archivo temporal creado por bash.

Por ahora no disponemos de una información completa para evaluar la gravedad de dicha vulnerabilidad, pero es de suponer que una vez publicada no tardará demasiado en ser resuelta y aplicado el parche correspondiente en las diferentes distros.

Ese mismo equipo ha sido responsable también de otros hallazgos en esta conferencia como el que afectaba a Mozilla Firefox y permitía una escalada de privilegios en el kernel de Windows.

No solo Linux

Además de Ubuntu, otros contendientes han mordido el polvo durante estos días de conferencia:

  • Un error descubierto en el motor chakra del navegador Microsoft Edge permitía inyectar código malicioso evitando todo tipo de sandbox. La gente de Tencent Security se llevó 80 000 dólares por este hallazgo.
  • El navegador Safari de MacOS ha sido hackeado varias veces. Una de las vulnerabilidades permitía acceso como administrador y dejar un mensaje en la barra táctil de la última MacBook Pro (premio de $25 000 para dos investigadores alemanes del Instituto de Tecnología de Karlsruhe). En otra mediante técnicas de desbordamiento de buffer se ganaba elevación de privilegios con el kernel macOS UaF ($35 000 para la gente de 360 Security)
  • A destacar también una vulnerabilidad en el núcleo de Windows que permitía la ejecución de código remoto aprovechándose de un fallo de desbordamiento de buffer en el estándar de compresión de imágenes jpeg2000 utilizado por el lector de PDF’s Adobe Reader (otros $50 000 dolares para 360 Security Team)
  • Y para finalizar un clásico: fallo en Adobe Flash que permitía la ejecución de código malicioso y obtener privilegios en el sistema. El equipo de Tencent Security se llevó 40 000 dólares por descubrir dicha vulnerabilidad. A mayores los empleados de 360 Security Team descubrieron otro fallo en Adobe Flash que afectaba al Windows Kernel mediante escalada de privilegios.

Chrome y Apache resisten

Hasta ahora los intentos por hackear Google Chrome y Apache (este último ejecutándose en un servidor Ubuntu) han sido infructuosos, curiosamente la vulnerabilidad de Apache Server de producirse sería la mejor recompensada ($200 000 de un total de un millón de dólares en juego). Aún quedan unas horas de conferencia pero todo parece indicar que serán los únicos en salir bien parados de este certamen.

A lo largo del día de hoy también se pondrá a prueba la seguridad de WMWare Workstation (Guest-to-Host) por parte de la gente de Keen Lab y PC Mgr. Habrá que ver si tienen éxito.

Podéis seguir la evolución de la conferencia y los resultados de los últimos días en la web de Zero Day Initiative.

32 thoughts on “Ubuntu hackeado en la Pwn2Own 2017”

  1. carlosky77 says:

    Hoy me cambio a chromium y posiblemente a otra distro. Aunque no sé cual es la más segura de todas y que además sea fácil de administrar. ¿Recomendaciones?

    1. Jolt2bolt says:

      Si usas Firefox, quédate con ese, que no será tan rápido como chrome por unos milisegundos pero es el más seguro y estable hasta ahora, y sin esa horrible fuga de memoria que tiene el motor blink (aunque debo admitir que amilanaron un poco la fuga de memoria pero sigue estando a menor escala aunque como la fuga escala exponencialmente, al final te termina golpeando igual aunque con mas pestañas abiertas comparando antes de ese medio fix que hicieron!XD) que lo hace prácticamente muy díficil de usar en computadoras con una modesta RAM, Palemoon es una buena opcion si quieres un navegador que funcione con los estandares actuales (ya que es un FOLK de Firefox pero sin esteroides) sin ese consumo tan alto de RAM que tienen los exploradores hoy en dia.

      POr cierto, de nada te serviría cambiarte a chromium si sigues usando el plugin de Adobe flash player, la mayoría de los problemas vienen de esa herramienta de animación que es como un boquete de seguridad en todos los exploradores, no importa cual uses, si tienes instalado eso, estas igual de vulnerable!

    2. Roberto Michán Sánchez says:

      Arch Linux. No sólo tienes las últimas actualizaciones de seguridad de todos los paquetes casi al instante (incluído el kernel que es el afectado en este caso), sino que eres tú el que elije el software que vas a usar y por tanto el software que vas a tener. En el ejemplo de Ubuntu que da el artículo, es probable que dicha falla no se hubiese dado de no tener la calculadora (yo no la tengo). Ese es el peligro de las distribuciones ‘Out of the box’; hacen demasiadas cosas por ti.

      1. Jolt2bolt says:

        En eso tienes razón. POr cierto, ¿no te distes cuenta de algo?

        ¡¿quien diablos usaria xcalc en un sistema operativo linux ahora?! esa cosas debe estar en “deprecated mode”, ya casi nadie usa una herramienta de xorg de los años 2000 al menos que sea un maniático del minimalismo y conozco gente que le gusta el minimalismo y ni se atrevería a usar eso. Normalmente uno usaría gcalc, no me extraña que xcalc tuviera un agujero de seguridad como ese y me parece extraño usar una herramienta tan vieja como esa…

        1. elav says:

          Eso mismo estaba pensando yo. O sea, es válido porque como quiera que sea XCalc permite que se ejecute la vulnerabilidad, pero es que en Ubuntu, o en cualquier otra distro, dudo mucho que alguien use esa aplicación. ¿o si?

          1. tannhausser says:

            La verdad es que hasta que se acabe el evento y no publiquen un paper con el descubrimiento es un poco tirar a ciegas (obviamente no lo iban a hacer antes, para nos les birlen la recompensa).

            Cosas como la versión del kernel, xcalc, si han modificado algún código previamente o la necesidad de tener acceso físico a la máquina (y a partir de ahí ya puedes hacer casi cualquier cosa), no están claras.

            Como curiosidad he intentando reproducirlo en Antergos (ahora no tengo Ubuntu a mano) ejecutando los mismos comandos y lanzando las aplicaciones con diferentes privilegios y no ha funcionado.

            Si probáis con Ubuntu ya me contaréis el resultado.

        2. Valo says:

          No… haber, no soy un experto, pero entiendo que es como en Windows, que para demostrar que se puede ejecutar código remotamente, normalmente se utiliza calc.exe con permisos elevados. Aquí debe ser algo parecido, ejecutan xcalc como superusuario, para demostrar que pueden ejecutar lo que ellos quieran como root… Probablemente 😛

          1. tannhausser says:

            Es lo que entendí inicialmente, supongo que la elección de calc se hace por convención y ellos decidieron darle su punto exótico con xcalc.

            La vulnerabilidad tiene que estar en el kernel.

      2. VaryHeavy says:

        Una matización: Es cierto que el caracter rolling de Arch provee las últimas actualizaciones de seguridad a todos los paquetes, pero también corre el riesgo de quedar expuesta por las nuevas vulnerabilidades que muchas veces traen las últimas actualizaciones.

        Yo en este sentido recomendaría antes Manjaro, que aplica sus propios filtros a los paquetes antes de liberarlos, no lo hace inmediatamente, con lo que gana en seguridad y estabilidad. Además de incluir esa maravillosa herramienta para cambiar el kernel de manera muy sencilla cuando sea necesario.

        Por cierto, ¿cual ha sido la versión de Ubuntu usada en las pruebas?

        1. 9acca9 says:

          hola. a qué herramienta te referís para cambiar el kernel?? saludos y gracias

          1. VaryHeavy says:

            A la que trae Manjaro instalada por defecto. No recuerdo ahora su nombre exacto, pero debe ser algo como “Kernel Management”, aunque de todas formas viene integrada también dentro de Preferencias del Sistema (systemsettings5).

      3. x11tete11x says:

        De hecho “no es tan así” por defecto en Archlinux tampoco tenes “seguridad”, no tenes un firewall, ni particiones cifradas (aunque obviamente ésto lo podes obtener “facilmente” si desde un inicio miraste la guia para instalar cifrando particiones) ni tampoco un “kernel seguro”, para todo eso hay un apartado de la wiki encargado del “hardening” de archlinux como así también un paquete en el repo community donde está el kernel parcheado con “Grsec” (que éste si tiene una amplia defensa contra todo tipo de ataques) y éste último suele ir por detras del que se encuentra en el core, que sigue muy muy de cerca el upstream, además tendrías que mirar o Apparmor o Selinux, para blindar lo que las aplicaciones pueden hacer, puede que suene extraño, pero Fedora o incluso Ubuntu (a pesar de hacer sido pwneado) pueden “por default” ser más seguros que Archlinux

        1. jolt2bolt says:

          Pues decir que archlinux no es seguro tampoco es tan acertado y especialmente para una distro estilo KISS, que normalmente nos obliga a construir el SO con los paquetes que verdaderamente necesitamos. Así que archlinux será tan seguro como lo desees. Por cierto, tener grsec, apparmor o SElinux sin una apropiada configuración es inútil. Normalmente solo funciona si el usuario dedica una gran cantidad de tiempo para configurar que o que no pueden hacer las aplicaciones del sistema. Pero que no tenga eso en el kernel de Linux no significa que Linux sea inseguro o al menos más inseguro que Windows.:p

        2. jolt2bolt says:

          Y se me olvidó decir que iptables (el firewall básico de Linux) viene preinstalado en casi todas las distro, así que decir que no tiene firewall es errado, lo que normalmente pasa es que casi en ninguna distro no es configurado con al menos la configuración básica de seguridad que es “acepta sólo conexiones de red que el usuario inicie”:p

          1. x11tete11x says:

            En el Archlinux viene instalado iptables pero con ambas politicas en “ACCEPT” so… es lo mismo que no tener firewall.. a eso me refería, respecto a lo otro, imagino que todos serán cracks en configuraciones de Selinux y Hardening no? xD, a eso voy, si ya hay un grupo de desarrolladores que preconfiguraron Selinux, Apparmor, el firewall, etc etc etc, “por defecto” es más segura, entiendo perfectamente lo que decis de que es tan segura como el usuario lo configure, pero eso es obvio, aplica a toda distro, la diferencia es que “de base” ya viene con una serie de preconfiguraciones restringiendo ciertas cuestiones (no quiero caer en una discusión eterna, pero es más que obvio que para un “usuario comun” un Ubuntu o Fedora es mil veces más seguro que un Archlinux, por la sencilla razón de que el usuario común no se va a andar liando con cuestiones de hardening, es más conozco varios que ni la “default policy” del firewall cambian) se entiende a lo que voy?

      4. IOS 5 Forever says:

        Jojojojo me troncho con la peña ! Ahora resulta que usar una calculadora es un riesgo de seguridad !! Jojojojo pero quién usa una calculadora, pone el otro andoba ? Me tronchoooo juuaaa juuaaaa juuuaaaaa linux muyyy segurooooo si si, lo recomendamos pero eh, ojo, que no puedes usar la calculadora eh ?
        Jojojojojojojojo jojojojo jojojojojo jojojojo como esta el patio !! xD

        1. jolt2bolt says:

          Si y mientras tú usas Windows sin actualizaciones de seguridad, al igual que mucho otro software en Windows produce agujeros de seguridad y no te causa risa y te quejas porque una calculadora no desarrollada desde el 2000 produce un agujero de seguridad en Linux, claro! No ser si lo dices por ser troll, por una ignorancia típica o simplemente de un Windows o Apple fanboy dando su discurso de que Windows o Mac es mejor y eso si me hace reir

    3. husilifi says:

      El problema de usar Chrom{ium/me} es que sabes que la propia Google te está espiando (ver http://globbsecurity.com/espionaje-google-chromium-34498/ o https://www.adslzone.net/2016/09/28/ungoogled-chromium-una-variante-chrome-sin-rastro-google/ o tantas otras).
      ¿Nos quedamos tranquilos si quien nos espía es Google y no cualquier hacker por ahí? Bueno, eso ya es decisión de cada cual, pero hoy por hoy la única alternativa que nos da cierta (sí, todos sabemos que la seguridad total no existe) seguridad es Firefox. Por algo es el navegador que ha elegido TOR, y no Chromium.

    4. Einar says:

      Recomendación?, uses lo que uses es vulnerable, absolutamente todo, tan solo es que se pongan a ello, en el artículo es Ubuntu, pero si hubiera sido fedora, opensuse, slackware, gentoo, da igual, cualquier sistema o navegador que quieran hackear lo van a hackear si se lo proponen, yo uso xubuntu y Chrome y por leer este artículo no voy a cambiar nada.

  2. Jolt2bolt says:

    COmentando generalmente, es increible que aunque ubuntu cayó una vez, la cantidad de veces que cayó windows es imperdonable y todavia hay gente que le encanta usar windows como SO, aunque es comodo, es demasiado inseguro y la manera como otorga privilegios a aplicaciones externas lo hacen demasiado vulnerable!:P

    Y que puedo decir del SO Apple, para ser productos tan caros no deberian tener tantas vulnerabilidades, pero al menos confio mas en el SO de apple que en windows!:P

    Y como siempre, Flash player comportándose como una coladera!… Ya quiero que desaparezca y nunca más se hable de ello, mira que no importa cuanto parche saquen, esa cosa parece que se le multiplican los agujeros de seguridad!XD

  3. fernan says:

    Hola:
    Yo creo que windows y mac siempre serán mas inseguros que GNU linux ya que al tratarse de sistemas totalmente privativos además de las vulnerabilidades conocidas están las no conocidas, mas que por sus creadores, porque no está disponible el código fuente para corregirlas.
    Saludos.

  4. Zas says:

    A ver: No han “hackeado el ubuntu”, eso no tiene sentido al ser (mayormente) software abierto. Lo que han hecho es encontrar una vulnerabilidad en el kernel de linux que permite a un usuario adquirir los privilegios de una aplicación de otro usuario. Aquí han corrido xcalc como root y han conseguido sus privilegios desde otra cuenta. Y lo realmente gracioso es que lo han hecho en un script bash.

  5. el_gorgon says:

    se sabe version de ubuntu utilizada y si es necesario el acceso fisico?

  6. alguien says:

    De todas formas, el problema es xcalc, no es ubuntu.
    La prueba es que apache ejecutándose en el mismo ubuntu, no han podido hackearlo.

  7. pietro says:

    Creo que el hack en Ubuntu fue lograr correr xcalc jaja

  8. Nasher_87(ARG) says:

    El buffer deberá ir al psicólogo después de esto, lo culpan de demasiadas cosas…😂

  9. Yoyo Fernández says:

    No se a que tanta paranoia, como si a los hackers chinos les interesara la mierda de archivos de tenemos en nuestras PC con Linux.

    Yo seguiré usando Linux y macOS como siempre.

    Nos vemos.

    1. Vladimir Luna says:

      Señor Yoyo tiene usted un +10000 en Cordura

  10. x-man says:

    De verdad los algoritmos de los hackers chinos, podrán con el “spanish” que hablamos los hispanos-parlantes??

    …me gustaría ver cuando logren penetrar una PC y se encuentren con:

    ..asereee, gilipollas, guey, achoo (muchachco en puertorriqueño, …quién aporta más…..

    Broma off, como dice el replicante, esperemos el final y veremos realmente por donde van los tiros, yo sigo y seguiré usando GNU/Linux/openSuSE/Plasma …y punto!!!

  11. isorfe says:

    Lo de premiar con dinero encontrar vulnerabilidades en Adobe Flash es casi regalarlo. Deberíamos ponernos de acuerdo y llevar algo preparado para el evento que viene 😉

    1. jolt2bolt says:

      Si, definitiva mente encontrar agujwode seguridad en flash es como decir que te sobra dinero y quieres botarlo!

Deja un comentario