Ежегодное соревнование Pwn2Own уже много лет проходит в рамках конференции CanSecWest в Ванкувере, и там, как правило, демонстрируют немало интересных взломов. Нынешний год не стал исключением. Так, в ходе третьего дня состязания китайская команда 360 Security, состоящая из специалистов компании Qihoo 360, продемонстрировала побег из VMware Workstation и скомпрометировала браузер Microsoft Edge.
Wow. @mj0011sec did it. Used heap overflow in Edge, type confusion in kernel, & uninit buffer in VMware for complete virtual machine escape.
— Zero Day Initiative (@thezdi) March 17, 2017
Согласно твиту от организаторов конкурса, Zero Day Initiative, члены Qihoo 360 сумели реализовать многоступенчатую атаку, составив цепочку из следующих эксплоитов: переполнение буфера хипа в Edge, атака на type confusion уязвимость в ядре Windows, а затем эксплуатация проблемы uninitialized buffer в VMware. Итогом стал побег из виртуальной машины, принесший команде $105 000.
«Мы воспользовались багом в движке JavaScript, внутри Microsoft Edge, чтобы выполнить код внутри песочницы Edge, а также использовали баг в ядре Windows 10 для побега и чтобы полностью скомпрометировать гостевую машину. Затем мы эксплуатировали баг hardware simulation в VmWare, чтобы реализовать побег из гостевой ОС на ОС хоста. И все начинается только лишь с одного подконтрольного нам сайта», — рассказал исполнительный директор Qihoo 360.
Второй побег из VMware Workstation осуществила команда Tencent Security, и атака принесла им $100 000. Специалисты объединили между собой эксплоит для use-after-free проблемы в ядре Windows, утечку данных в VMware и уязвимость типа uninitialized buffer в VMware. Результатом так же стал успешный побег из виртуальной машины.
Confirmed! Tencent Security - Team Sniper used a Windows kernel UAF, a VMware infoleak & an uninitialized VMware buffer to go guest-to-host.
— Zero Day Initiative (@thezdi) March 17, 2017
По итогам состязания в этом году было успешно скомпрометированы Windows, macOS, Ubuntu, Firefox, Edge, Safari, Adobe Reader, Adobe Flash, VMWare Workstation. Больше подробностей об использованных участниками эксплоитах и техниках можно найти в блогах Trend Micro (1 и 2) и Zero Day Initiative.
