На прошлой неделе в Канаде, в рамках конференции CanSecWest, прошло состязание Pwn2Own 2018. И хотя в этом году, благодаря поддержке Microsoft и VMware, размер призового фонда мероприятия был увеличен до 2 000 000 долларов, исследователям удалось забрать домой лишь 267 000 долларов, то есть значительно меньше, чем в предыдущие годы. Напомню, что по итогам Pwn2Own 2017 представители Trend Micro Zero Day Initiative (ZDI) выплатили участникам 833 000 долларов за 51 обнаруженную уязвимость, а в 2016 году white hat’ы заработали 460 000 долларов и нашли 21 баг.
Представители ZDI пишут, что хакеры показали себя хуже, чем ожидалось, сразу по нескольким причинам. Так, некоторые специалисты, зарегистрировавшиеся для участия в Pwn2Own, были вынуждены снять свои кандидатуры с конкурса, так как во время мартовского «вторника обновлений» компания Microsoft устранила уязвимости, которые эксперты планировали использовать. Кроме того, в начале текущего месяца власти Китая высказались против участия в Pwn2Own китайских специалистов. Представители властей полагают, что исследователи не должны делиться эксплоитами и информацией об уязвимостях с третьими сторонами за рубежом. Вместо этого было предложено сообщать о проблемах напрямую вендорам.
Тем не менее, несколько хороших взломов на Pwn2Own все же показали. Так, в первый день соревнований Ричард Чжу (Richard Zhu) не сумел взломать браузер Safari, однако успешно продемонстрировал цепочку эксплоитов, скомпрометировавших браузер Edge, что принесло ему 70 000 долларов. В этот же день специалист команды Phoenhex Никлас Баумштарк (Niklas Baumstark) взломал VirtualBox, заработав 27 000 долларов. Его коллега по команде Сэмюэл Гросс (Samuel Groß) показал успешную компрометацию Safari, что принесло Phoenhex еще 65 000 долларов.
Второй день соревнования все тот же Чжу добавил к своему призу еще 50 000 долларов, взломав Firefox при помощи out-of-bounds уязвимости в самом браузере и переполнения целочисленного типа в ярде Windows. В этом году именно Чжу заслужил звание Master of Pwn, став самым результативным участником соревнований. Суммарно эксперт заработал 120 000 долларов.
Также во второй день специалисты Ret2 Systems успешно использовали цепочку эксплоитов против браузера Safari, однако взлом удался лишь с четвертой попытки, тогда как по правилам Pwn2Own осуществить компрометацию нужно с трех попыток. В итоге хак не принес специалистам награду в рамках конкурса. Впрочем, представители ZDI все равно выкупили у экспертов информацию об уязвимостях, чтобы затем передать ее Apple.
Кроме того, во второй день взлом удался у представителей MWR Labs. Они продемонстрировали побег из песочницы в Safari, использовав для этого переполнение буфера хипа в браузере, а также атаку типа uninitialized stack variable против самой macOS. Этот хак принес специалистам 55 000 долларов.
Напомню, что в рамках состязания также прошел отдельный Windows Insider Preview челлендж, в рамках которого участникам предлагали «вскрыть» Windows Defender Application Guard для Edge, Windows SMB, а также Windows Hyper-V. Увы, никто не взломал не только их, но также Chrome, NGNIX, Apache httpd, OpenSSL, vMware Workstation, Adobe Reader, MS Office 365 ProPlus и MS Outlook.