Обновлено 24.03.2019. Добавлены итоги последнего дня состязания.

За два первых дня соревнования Pwn2Own-2019 в Ванкувере этичные хакеры нашли и продемонстрировали 14 уязвимостей в браузерах и платформах виртуализации. Это принесло им в общей сложности $510 тыс.

Pwn2Own проводится в рамках конференции по информационной безопасности CanSecWest начиная с 2007 года. В этот раз призовой фонд составил $1 млн.

Компании-партнеры предложили исследователям список целей в нескольких категориях. Среди виртуальных машин их больше всего интересовали бреши в Oracle VirtualBox, VMware Workstation, VMware ESXi и клиенте Microsoft Hyper-V. Востребованным остается и обнаружение уязвимостей в браузерах Chrome, Microsoft Edge, Safari и Firefox, а также корпоративных приложениях — Adobe Reader, Microsoft Outlook и пакете MS Office 365. Кроме того, представители Microsoft выдвинули заявку на поиск багов в протоколе RDP, предназначенном для удаленной работы с сервером.

В этом году в числе партнеров соревнования появилась компания Tesla. Ее представителей больше всего интересует безопасность IoT-устройств, поскольку все обновления для своих автомобилей Tesla доставляет по воздуху. В последний день конкурса, участники попробуют себя в новой, автомобильной категории и попытаются взломать Tesla Model 3. Организаторы обещают, что «первый, кому будет сопутствовать в этом успех, сможет покинуть соревнования на машине этой марки».

Пока наиболее продуктивно работает команда Fluoroacetate, в которой участвуют лишь два человека. Она хорошо зарекомендовала себя еще в ноябре прошлого года в Токио, где стала безусловным лидером по итогам соревнований. На сей раз Амат Кама (Amat Cama) и Ричард Жу (Richard Zhu) заработали $160 тыс. в первый день и $180 тыс. во второй.

Одна из проведенных ими атак была нацелена на браузер Safari — исследователи воспользовались ошибкой целочисленного переполнения, а затем переполнением в куче, чтобы выйти за пределы песочницы. Несмотря на то, что обход изоляции отнял у них почти все отведенное время из-за использования техники брутфорса, одна из последних попыток оказалась удачной и принесла тандему $55 тыс.

Вторая цепочка эксплойтов команды была направлена против Oracle VirtualBox. На сей раз для взлома Кама и Жу использовали целочисленное переполнение и состояние гонки. Это позволило им выполнить код на хост-машине из гостевой системы и получить $35 тыс. в качестве приза.

Третью удачную атаку дуэт совершил на VMware Workstation. Еще раз воспользовавшись состоянием гонки, Fluoroacetate вызвали запись за пределами выделенной памяти и смогли из гостевого окружения выполнить код на стороне хост-системы. Это принесло им еще $70 тыс.

На второй день команда смогла взломать Firefox, используя ошибку JIT-компиляции в браузере, а затем — запись за пределами буфера в ядре Windows, что позволило выполнить код на уровне SYSTEM. Для успешной атаки жертве нужно было просто зайти на созданный этичными взломщиками сайт.

К схожей тактике участники прибегли и в случае с Microsoft Edge. Создав специальную страницу, Кама и Жу открыли ее в браузере на клиенте VMware Workstation, чтобы воспользоваться багом путаницы данных. Затем в ход пошло состояние гонки в ядре Windows, за которым последовала запись за пределами буфера. В итоге дуэт достиг своей цели — используя клиент VMware, выполнить код на хост-машине.

Помимо Fluoroacetate, себя проявила еще одна команда, а также двое исследователей-одиночек.

Впервые принимавший участие в конкурсе anhdaden из STAR Labs взломал Oracle VirtualBox через ошибку целочисленного переполнения для получения доступа к базовой ОС и заработал $35 тыс. Другой новичок, Артур Геркис (Arthur Gerkis) из Exodus Intelligence, нацелился на Microsoft Edge и добился успеха, используя двойное освобождение памяти при рендеринге, а затем логическую ошибку, чтобы выйти из песочницы. Никлас Баумстарк (Niklas Baumstark) успешно атаковал браузер Firefox, воспользовавшись несовершенством JIT и логической ошибкой, позволяющей обойти песочницу.

Команда из двух человек phoenhex & qwerty при атаке на Safari применила комбинацию из трех эксплойтов и смогла полностью скомпрометировать систему. Несмотря на то, что об одной уязвимости разработчики Apple уже знали, дуэт заработал $45 тыс.

Update. Весенний конкурс Pwn2Own завершился триумфом команды Fluoroacetate. В последний день исследователи с успехом продемонстрировали взлом информационно-развлекательной системы электромобиля Tesla Model 3. Используя JIT-баг в механизме рендеринга браузера, они смогли вывести на экран свое сообщение. За эту находку талантливый дуэт получил $35 тыс. — и сам электромобиль. Их единственный соперник, Team KunnaPwn, снял свою заявку в этой категории.

Категории: Кибероборона, Уязвимости, Хакеры