Участники ежегодного состязания “белых” хакеров Pwn2Own-2018 взломали браузеры Microsoft Edge, Apple Safari и Mozilla Firefox.

Об этом сообщается в блоге состязаний.На прошлой неделе в Канаде, в рамках конференции CanSecWest, прошло состязание Pwn2Own-2018. И хотя в этом году, благодаря поддержке Microsoft и VMware, размер призового фонда мероприятия был увеличен до 2 млн долларов, исследователям удалось забрать домой лишь 267 тыс. долларов, то есть значительно меньше, чем в предыдущие годы. 

Отмечается, что хакеры показали себя хуже, чем ожидалось, сразу по нескольким причинам. Так, некоторые специалисты, зарегистрировавшиеся для участия в Pwn2Own, были вынуждены снять свои кандидатуры с конкурса, так как во время мартовского “вторника обновлений” компания Microsoft устранила уязвимости, которые эксперты планировали использовать. Кроме того, в начале текущего месяца власти Китая высказались против участия в Pwn2Own китайских специалистов. Представители властей полагают, что исследователи не должны делиться эксплойтами и информацией об уязвимостях с третьими сторонами за рубежом. Вместо этого было предложено сообщать о проблемах напрямую вендорам.

Тем не менее несколько хороших взломов на Pwn2Own все же показали. Так, в первый день соревнований Ричард Чжу (Richard Zhu) не сумел взломать браузер Safari, однако успешно продемонстрировал цепочку эксплойтов, скомпрометировавших браузер Edge, что принесло ему 70 тыс. долларов. В этот же день специалист команды Phoenhex Никлас Баумштарк (Niklas Baumstark) взломал VirtualBox, заработав 27 тыс. долларов. Его коллега по команде Сэмюэл Гросс (Samuel Groß) показал успешную компрометацию Safari, что принесло Phoenhex еще 65 тыс. долларов.

IMG 0997a

IMG 1040a

IMG 1016a

Фото:zerodayinitiative.com

На второй день Pwn2Own-2018 состоялось три выступления. Ричард Чжу увеличил свой общий выигрыш на 50 тыс. долларов, успешно атаковав Mozilla Firefox. Эксплойт был построен на ошибках чтения за пределами поля и целочисленного переполнения ядра Windows.

Затем Маркус Гаасэделен (Markus Gaasedelen), Ник Бернетт (Nick Burnett) и Патрик Бирнат (Patrick Biernat) из компании Ret2 Systems попытались взломать Safari, однако не уложились в предписанные три попытки. Когда на четвертый раз метод доказал свою работоспособность, они получили награду от багхантинговой программы Zero Day Initiative, под чьей эгидой проводится мероприятие.

Состязание завершилось выступлением команды из MWR labs. Алекс Пласкетт (Alex Plaskett), Георги Гешев (Georgi Geshev) и Фаби Бетерке (Fabi Beterke) использовали уязвимости незаполнения буфера кучи (heap buffer underflow) и неопределенной переменной стека (uninitialized stack variable), чтобы выйти из песочницы Safari. Наградой стали 55 тыс. долларов.

По итогам Pwn2Own-2018 победителем был признан Ричард Чжу — он набрал в два раза больше призовых очков, чем ближайший конкурент. По традиции, вдобавок к денежным наградам все успешные конкурсанты получили ноутбуки, на которых проводили атаки.

Picture1

IMG 1053a

IMG 1075a

Фото:zerodayinitiative.com

21 февраля хакеры взломали аккаунт компании Tesla на облачной платформе Amazon для майнинга криптовалют.
14 февраля главы силовых ведомств США предупредили американцев, что им не стоит покупать мобильные устройства китайских компаний Huawei и ZTE.