В минувшие выходные в Китае прошло соревнование Tianfu Cup, на котором, как на Pwn2Own, лучшие хакерские команды соревновались, взламывая популярные продукты. Суть состязания заключается в том, чтобы использовать ранее неизвестные уязвимости и с их помощью перехватить контроль над приложением или устройством. Если атака удалась, исследователи получают баллы, денежные призы, а также соответствующую репутацию, которая неминуемо следует за победой в подобном мероприятии.

В сущности, Tianfu Cup очень похож на Pwn2Own и был создан именно после того, как в 2018 году  китайское правительство запретило местным ИБ-исследователям участвовать в хакерских конкурсах, организованных за рубежом. Первое соревнование Tianfu Cup состоялось осенью 2018 года, и тогда исследователи успешно взломали такие приложения, как Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox и не только.

В этом году Tianfu Cup выдался не менее успешным для участников. Так, на первый день соревнований 11 командами было запланировано сразу 32 различных взлома, целями которых были Edge, Chrome, Safari, Office 365 и не только. По итогам дня успешными оказались из этих 13 атак. Еще 7 попыток потерпели неудачу, и в 12 случаях исследователи по разным причинам были вынуждены отказаться от своих попыток.

Подводя итоги первого дня, организаторы соревнования сообщили о следующих успешных взломах:

  • (3 успешных эксплоита) Microsoft Edge (старая версия на движке EdgeHTML, а не новая версия Chromium) [твит];
  • (2 успешных эксплоита) Chrome [твит];
  • (1 успешный эксплоит) Safari [твит];
  • (1 успешный эксплоит) Office 365 [твит, твит];
  • (2 успешных эксплоита) Adobe PDF Reader [твит];
  • (3 успешных эксплоита) Маршрутизатор D-Link DIR-878 [твит];
  • (1 успешный эксплоит) QEMU-KVM + Ubuntu [твиттвит].

В итоге, по результатам первого дня по количеству баллов лидировала команда Team 360Vulcan, бывший победитель Pwn2Own.

На второй день соревнований были запланированы 16 попыток взлома. Результативными оказались только половина из них, а в восьми случаях исследователи вновь отказались от своих намерений. Из восьми успешных атак, впрочем, цели достигли только семь, и одна атака не сработала. Семь сработавших как должно эксплоитов предназначались для:

    • (4 успешных эксплоита) D-Link DIR-878 [твит];
    • (2 успешных эксплоита) Adobe PDF Reader [твит];
    • (1 успешный эксплоит) VMWare Workstation [твит,твит].

К сожалению, во второй день состязаний участники Team 360Vulcan отказались от попытки взлома iOS, которая также была запланирована последней, чтобы завершить турнир. В целом участники из разных команд потерпели неудачу или отказались от попыток взлома Edge, Chrome, Safari, Adobe Reader, Oracle VirtualBox, TP-Link и роутеров D-Link, Windows Server 2019, VMware Workstation и iPhone 11 Pro.

Тем не менее, Team 360Vulcan  все равно стала победителем соревнования, заработав 382 500 долларов за свои усилия по взлому Microsoft Edge, Microsoft Office 365, qemu+Ubuntu, Adobe PDF Reader и VMWare Workstation. Так, одни лишь эксплоиты для VMWare и qemu+Ubuntu принесли им 200 000 и 80 000 долларов соответственно.

Занявшая второе место, ddd Team, заработала в общей сложности 83 750 долларов за эксплоиты, нацеленные на Edge, Chrome, Adobe Reader и роутеры D-Link.

1 комментарий

  1. Аватар

    dmi3j

    20.11.2019 at 19:56

    Всегда любопытно читать про взлом Apple. И тут не подвела Маша! За громким «взломали» Safari стоит «partially successful entry»… https://twitter.com/TianfuCup/status/1195584699680190466
    т.е. даже хакерам стыдно писать враки, а Маше ни капельки!

Оставить мнение