During a cybersecurity competition the team “Fluoroacetate” discovered a flaw that allowed them to exploit a Zero-Day vulnerability in Safari, which earned them a prize of $55,000 and 5 Master points in PWD (PWD is the scoring system of the competition).
Lo llevaron a cabo utilizando un fallo que desborda la memoria del navegador junto a un ataque de fuerza bruta. El intento casi les ocupó todo el tiempo permitido, ya que utilizaron una técnica de fuerza bruta durante la competición y esta técnica suele tardar bastante. El código falló y luego lo intentaron de nuevo hasta que obtuvieron éxito.
However, quedaron eclipsados cuando el equipo “phoenhex & qwerty team” explotaron una vulnerabildad Zero-Day en Safari, consiguiéndolo con un fallo que les permitía acceder al kernel del sistema operativo de Apple, dejando patente un grave problema del sistema operativo. La mala suerte de estos chicos hizo que quedaran segundos, ya que Apple ya conocía ese error y se disponía a parchearlo.
¿Qué es un ataque Zero-Day?
Un ataque de Zero-Day es un ataque contra una aplicación o sistema, teniendo como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, generally, son desconocidas para la gente y el fabricante del producto.