В минувшие выходные в Китае прошло соревнование Tianfu Cup, на котором, как на Pwn2Own, лучшие хакерские команды соревновались, взламывая популярные продукты. Суть состязания заключается в том, чтобы использовать ранее неизвестные уязвимости и с их помощью перехватить контроль над приложением или устройством. Если атака удалась, исследователи получают баллы, денежные призы, а также соответствующую репутацию, которая неминуемо следует за победой в подобном мероприятии.
В сущности, Tianfu Cup очень похож на Pwn2Own и был создан именно после того, как в 2018 году китайское правительство запретило местным ИБ-исследователям участвовать в хакерских конкурсах, организованных за рубежом. Первое соревнование Tianfu Cup состоялось осенью 2018 года, и тогда исследователи успешно взломали такие приложения, как Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox и не только.
В этом году Tianfu Cup выдался не менее успешным для участников. Так, на первый день соревнований 11 командами было запланировано сразу 32 различных взлома, целями которых были Edge, Chrome, Safari, Office 365 и не только. По итогам дня успешными оказались из этих 13 атак. Еще 7 попыток потерпели неудачу, и в 12 случаях исследователи по разным причинам были вынуждены отказаться от своих попыток.
Подводя итоги первого дня, организаторы соревнования сообщили о следующих успешных взломах:
- (3 успешных эксплоита) Microsoft Edge (старая версия на движке EdgeHTML, а не новая версия Chromium) [твит];
- (2 успешных эксплоита) Chrome [твит];
- (1 успешный эксплоит) Safari [твит];
- (1 успешный эксплоит) Office 365 [твит, твит];
- (2 успешных эксплоита) Adobe PDF Reader [твит];
- (3 успешных эксплоита) Маршрутизатор D-Link DIR-878 [твит];
- (1 успешный эксплоит) QEMU-KVM + Ubuntu [твит, твит].
В итоге, по результатам первого дня по количеству баллов лидировала команда Team 360Vulcan, бывший победитель Pwn2Own.
I’m not at all surprised to see 360Vulcan has an exploit in every category. They are a large team with a lot of skilled people. Also, they always dominate by quantity in pwn contests, they go after everything. (The router bugs don’t pay out enough, I guess, to attract 360) https://t.co/bvn41vIK16
— thaddeus e. grugq (@thegrugq) November 16, 2019
На второй день соревнований были запланированы 16 попыток взлома. Результативными оказались только половина из них, а в восьми случаях исследователи вновь отказались от своих намерений. Из восьми успешных атак, впрочем, цели достигли только семь, и одна атака не сработала. Семь сработавших как должно эксплоитов предназначались для:
К сожалению, во второй день состязаний участники Team 360Vulcan отказались от попытки взлома iOS, которая также была запланирована последней, чтобы завершить турнир. В целом участники из разных команд потерпели неудачу или отказались от попыток взлома Edge, Chrome, Safari, Adobe Reader, Oracle VirtualBox, TP-Link и роутеров D-Link, Windows Server 2019, VMware Workstation и iPhone 11 Pro.
Тем не менее, Team 360Vulcan все равно стала победителем соревнования, заработав 382 500 долларов за свои усилия по взлому Microsoft Edge, Microsoft Office 365, qemu+Ubuntu, Adobe PDF Reader и VMWare Workstation. Так, одни лишь эксплоиты для VMWare и qemu+Ubuntu принесли им 200 000 и 80 000 долларов соответственно.
Занявшая второе место, ddd Team, заработала в общей сложности 83 750 долларов за эксплоиты, нацеленные на Edge, Chrome, Adobe Reader и роутеры D-Link.