Итоги контеста PwnFest

Соревнование (контест) между security-ресерчерами под названием PwnFest чем-то напоминает другой известный контест — Pwn2Own. PwnFest проходил в Южной Корее, где исследователям по безопасности предлагалось скомпрометировать различные устройства и приложения для удаленного исполнения кода, а также повышения своих привилегий в системе. Спектр предлагаемых для взлома продуктов достаточно обширен, это веб-браузер Edge на Windows 10, ОС Android 7 на новейшем устройстве Google Pixel, известная среда виртуализации Microsoft Hyper-V, веб-браузеры Google Chrome и Apple Safari, а также VMware Workstation, Adobe Flash Player и Apple iOS 10.
b569e761297f48358cf6552aded01aed.jpeg

Команда китайских исследователей по безопасности из известной компании Qihoo 360 Technology не только сумела успешно скомпрометировать Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel, а также выиграть титул «Lord of Pwn». В общей сложности команда заработала $530k.

Все предназначенные для компрометации приложения, а также ОС являются полностью обновленными до актуального состояния (up-to-date). Расценки в случае доступных кейсов атак приведены ниже. Видно, что самая высокая цена предлагается за взлом систем виртуализации VMware Workstation, а также MS Hyper-V. Под extra-вознаграждением подразумевается не только успешное исполнение кода, но также обход ограничений sandbox, т. е. получение максимальных прав root/SYSTEM.

0da0718e42684a208a7dce751026f116.png

Под взломом системы виртуализации понимается успешный обход ограничений гипервизора, которые он накладывает на исполняемый в виртуальной машине код. Т. е. security-исследователям предоставляется возможность продемонстрировать работу эксплойта, который использует одну или несколько уязвимостей в системе безопасности виртуальной машины для исполнения кода на реальной машине (хосте) из процесса на гостевой системе. Демонстрируемый эксплойт должен успешно работать на самом актуальном ПО и ОС.
The demonstration must prove that the exploit program can successfully run an arbitrary
code in the context of virtual machine host process. For example, the contestant may
choose to run a command line tool in host operation system. The contestant can choose
any methods they like, but the methods must meet the above requirements clearly

Исследователи Qihoo 360 также успешно исполнили удаленный код на смартфоне Google Pixel с Android 7, заработав при этом $120k.
4498f53c895c47adb00cb576ee8a3cd4.jpeg

Другие результаты.
  • Известная команда security-ресерчеров iOS Pangu Team успешно скомпрометировала веб-браузер Safari на OS X Sierra, заработав $80k.
  • Известный хакер из Южной Кореи с ником Lokihardt, успешно скомпрометировал веб-браузер Edge на новейшей Windows 10×64 RS1, а также сумел повысить свои привилегии в системе до уровня SYSTEM, заработав при этом $140k.
  • Исследователи Qihoo 360 успешно исполнили код на Flash Player, повысив свои привилегии в системе до уровня SYSTEM с использованием LPE-уязвимости в win32k.sys, заработав $120k.

После демонстрации работы эксплойтов, информация об использовавшихся в них 0day уязвимостях отправляется соответствующим вендорам на исправление.

Комментарии (0)

© Habrahabr.ru