Max Home IndustryPwn2Own 2016 прошел на прошлой неделе. Как и в предыдущие годы, он проводился на конференции CanSecWest в Ванкувере, организованной организацией Zero Day Initiative, но после приобретения компанией Trend Micro компании Tipping Point она проходила под совместной эгидой Hewlett Packard Enterprise и Trend Micro.
Еще одним нововведением 2016 года стала награда Master of Pwn для исследователя, показавшего лучшую общую производительность за двухдневное соревнование с использованием системы баллов, где количество баллов отражает сложность эксплойта:
В объявлении ZDI поясняется:
Например, если у кого-то есть две успешные записи (Google Chrome с выходом из песочницы и Microsoft Edge с расширением SYSTEM), общее количество баллов составит 28 баллов — и это в дополнение к самим призовым деньгам.
Вы заметите, что Firefox нет в списке — это потому, что его слишком легко взломать. Объявляя об этом изменении в прошлом месяце, Брайан Горенк, менеджер отдела исследований уязвимостей HPE, сказал:
«Мы хотели сосредоточиться на браузерах, в которых за последний год были внесены серьезные улучшения в безопасности».
Еще одним изменением в смеси стало введение VMware в качестве целевой платформы. По словам Брейна Горенца:
С момента своего основания в 2007 году Pwn2Own повышал уровень сложности на каждом новом соревновании, и этот год не стал исключением. Хотя последние версии браузеров от Google, Microsoft и Apple по-прежнему остаются целями, цели на базе Windows будут выполняться на виртуальной машине VMware Workstation. Бонус в размере 75 тысяч долларов будет предоставлен тем, кто сможет избежать виртуальной машины VMware. Это наш первый год, в котором VMware входит в число целей, и мы с нетерпением ждем, что исследователи будут с этим делать.
Pwn2Own 2016 привлек рекордное количество участников, но в этом мероприятии было выплачено меньше призов, чем в прошлом году, и ни один из участников не продемонстрировал успешный эксплойт для VMware.
За два дня была успешно использована 21 ошибка, распределенная, как показано ниже, и вознаграждение в размере 460 000 долларов США, выплаченное участвующим командам и отдельным лицам:
6 ошибок в операционной системе Windows
5 ошибка в операционной системе OS X
4 ошибки в Adobe Flash
3 ошибки в Apple Safari
2 ошибки в Microsoft Edge
1 ошибка в Google Chrome (которая дублирует ранее отправленную ошибку)
Более подробная информация представлена в этих двух видео:
По итогам конкурса Tencent Security Team Sniper стал Master of Pwn, набрав наибольшее количество баллов (38). Таким образом, команда заработала дополнительно 65 000 баллов ZDI (на сумму 25 000 долларов США) в дополнение к 142 500 долларам наличными, присужденным за свои подвиги. Чон Хун Ли (Локихард) ушел с наибольшим количеством денег — 145 000 долларов. Его эксплойты включали выполнение кода на системном уровне против Microsoft Edge с использованием уязвимости неинициализированной переменной стека в Edge и обход каталога в Windows, который принес ему 85 000 долларов, самый большой денежный приз, присуждаемый за одну попытку.
Сообщение в блоге Trend Micro, в котором подведены итоги мероприятия, указывает на ценность этого ежегодного мероприятия для всех остальных и на то, что было выявлено в этом году:
Каким бы увлекательным ни было соревнование Pwn2Own, в конечном итоге это серьезный бизнес, связанный с пониманием текущих угроз и слабостей. Конкурс этого года в этом отношении успешен. Хотя легко сосредоточиться на состоянии безопасности браузера, как показано на Pwn2Own, реальная, важная техническая история касается состояния безопасности ядра. КАЖДАЯ успешная атака обеспечивает СИСТЕМНЫЕ или корневые привилегии. Сначала это Pwn2Own. Это тоже очень тревожное событие. Как отметил исследователь ZDI Джасиэль Спелман, исследователи и злоумышленники, вероятно, сосредоточили внимание на ядре в ответ на достижения в области песочницы. В сфере безопасности является трюизмом то, что когда вы укрепляете одну область, злоумышленники и исследователи переключают свое внимание на другую. Судя по Pwn2Own 2016, похоже, что это происходит со сдвигом в сторону ядра. Это также подтверждается тем, что мы наблюдаем в Linux в последнее время: хотя Linux находится за пределами внимания Pwn2Own, в последнее время мы столкнулись с рядом проблем с ядром Linux.