Французская команда Vupen Security продемонстрировала несколько 0day-уязвимостей и за явным преимуществом победила на конкурсе Pwn2Own, который завершился на конференции по безопасности CanSecWest в Ванкувере.
Французская команда Vupen Security
Напомним, в первый день соревнований команда Vupen взломала браузер Chrome, но благодаря специально установленному жучку в коде Chrome компания Google сумела выяснить, в чём заключается уязвимость.
В третий день соревнований команда Vupen показала эксплойт для IE9 на полностью пропатченной Windows 7 SP1, используя две 0day-уязвимости с переполнением кучи и нарушением адресации памяти (memory corruption). Этот эксплойт работает во всех версиях Internet Explorer, начиная с шестой и заканчивая десятой под Windows 8.
Представители Vupen подтвердили, что данная уязвимость присутствует в Internet Explorer уже много лет, начиная с шестой версии. Они обещают сообщить в Microsoft подробности уязвимости с переполнением кучи, но сохранят «для своих клиентов» уязвимость c нарушением адресации памяти, которая позволяет вредоносному коду выйти за пределы песочницы Protected Mode. Они также сказали, что во время создания эксплойта для конкурса (что заняло девять недель работы двух сотрудников) они нашли много уязвимостей в Protected Mode, но с появлением подобных систем защиты кода, как в Windows 8, эксплойты становится труднее создавать, так что их стоимость повышается.
По условиям конкурса Pwn2Own, участники соревнований не обязаны предоставлять разработчикам браузеров код эксплойта и информацию об уязвимостей. Они работают в виртуальной машине, запускают там свой код — и организаторы соревнований получают сигнал от виртуальной машины, если эксплойт срабатывает.
Подтверждение эксплойта IE9
Из-за таких правил компания Google отказалась от поддержки Pwn2Own и организовала свой собственный конкурс Pwnium, на котором в пятницу приз $60 тыс. выиграл тюменский студент Сергей Глазунов.
В случае с Vupen Security сложилась интересная ситуация. Эта французская компания объяснила, что одну из 0day-уязвимостей будут использовать для своих клиентов. Казалось бы, каким образом можно защищать клиентов с помощью такой информации? Но в том-то и дело, что речь идёт совсем не о защите. На официальном сайте Vupen Security указано, что фирма предоставляет заказчикам «услуги по использованию эксплойтов в целях нападения» (offensive exploit services). Поскольку такая активность со стороны частных компаний или физических лиц подпадает под действие уголовного кодекса, остаётся лишь одно — заказчиками Vupen Security являются государственные агентства, правоохранительные органы и разведывательные службы. По идее, только они имеют право легально использовать такие эксплойты. Хотя, клиентами компании могут стать и «крупные корпорации из сферы финансов, технологий и производства».
На сайте Vupen Security сказано, что они тщательно выбирают клиентов, которые должны быть только из стран НАТО, АНЗЮС и АСЕАН, то есть у России нет шансов.