Из-за вспышки коронавируса в этом году конкурс Pwn2Own получился не совсем обычным. В нормальных обстоятельствах мероприятие проводится в рамках конференции CanSecWest в Канаде, но на этот раз многие исследователи не смогли или не захотели приехать в Ванкувер, тем самым подвергая риску свое здоровье. В итоге состязание прошло в виртуальной среде: участники заранее отправили свои эксплоиты организаторам Pwn2Own, Zero Day Initiative, и те запускали код во время прямой трансляции, на которой присутствовали все участниками.
За два дня конкурса командам удалось успешно скомпрометировать Windows, macOS, Ubuntu, Safari, Adobe Reader и Oracle VirtualBox. Все баги, выявленные и использованные во время конкурса, были сразу доведены до сведения соответствующих компаний.
В первый день Pwn2Own 2020 исследователи заработали в общей сложности 180 000 долларов. Так, команда из лаборатории технологий и безопасности Технологического института Джорджии успешно выполнила код на macOS через Safari. Цепочка эксплоитов, которая включала в себя запуск калькулятора в Safari и повышение привилегий до root (путем объединения шести различных уязвимостей), принесла им 70 000 долларов и 7 очков Master of Pwn.
Также в этот день новичок конкурса Манфред Пол (Manfred Paul) из команды RedRocket CTF заработал 30 000 долларов и 3 очка Master of Pwn за локальный эксплоит с повышением привилегий, нацеленный на Ubuntu Desktop. Его эксплоит использовал проблему improper input.
Настоящие ветераны Pwn2Own, команда Fluoroacetate, в состав которой входят Амат Кама (Amat Cama) и Ричард Чжу (Richard Zhu), в этом году традиционно показала класс. Напомню, что эта команда победила в трех последних соревнованиях Pwn2Own (в ноябре и марте 2019 года, а также ноябре 2018 года) и в настоящее время Кама и Чжу считаются одними из лучших хакеров в мире и наиболее результативными участниками Pwn2Own. Прошлой осенью они выиграли на конкурсе автомобиль Tesla и заработали почти 200 000 долларов.
В первый день нынешнего, весеннего Pwn2Own Fluoroacetate заработали 40 000 долларов и 4 очка Master of Pwn за эксплоит локального повышения привилегий, ориентированный на Windows 10. Чжу также получил дополнительные 40 000 долларов и 4 очка в Master of Pwn за другой эксплоит повышения привилегий, тоже ориентированный на Windows 10.
Во второй день соревнований команда STAR Labs получила 40 000 долларов и 4 очка Master of Pwn за успешную демонстрацию эксплоита для VirtualBox, который приводил к побегу из гостевой ОС и выполнению произвольного кода на хосте. Эксплоит был связан с out-of-bounds чтением и uninitialized variable проблемой.
Амат Кама и Ричард Чжу заработали еще 50 000 долларов и 5 очков за Master of Pwn за демонстрацию взлома с использованием уязвимостей use-after-free в Adobe Reader и ядре Windows.
Команда Synacktiv попыталась взломать VMware Workstation, но их попытка не увенчалась успехом. В конце дня представитель Zero Day Initiative провел специальную демонстрацию вне конкурса: побег гостя на хост в VirtualBox.
В результате на этот раз победителем конкурса вновь стала команда Fluoroacetate, а участники состязания в общей сложности заработали 270 000 долларов США.