Підсумки контесту PwnFest

Змагання (контест) між security-ресерчерами під назвою PwnFest чимось нагадує інший відомий контест — Pwn2Own. PwnFest проходив у Південній Кореї, де дослідникам з безпеки пропонувалося скомпрометувати різні пристрої і програми для віддаленого виконання коду, а також підвищення своїх привілеїв в системі. Спектр пропонованих для злому продуктів досить великий, це веб-браузер, Edge на Windows 10, ОС Android 7 на новітньому обладнанні Google Pixel, відома середовище віртуалізації Microsoft Hyper-V, веб-браузери Google Chrome, Apple Safari, а також VMware Workstation, Adobe Flash Player і Apple iOS 10.


Команда китайських дослідників з безпеки з відомої компанії Qihoo 360 Technology не тільки зуміла успішно скомпрометувати Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel, а також виграти титул «Lord of Pwn». В цілому команда заробила $530k.

Всі призначені для компрометації програми, а також ОС є повністю оновленими до актуального стану (up-to-date). Розцінки у разі доступних кейсів атак наведені нижче. Видно, що найвища ціна пропонується за злом систем віртуалізації VMware Workstation, а також MS Hyper-V. Під extra-винагородою розуміється не тільки успішне виконання коду, але також обхід обмежень sandbox, тобто отримання максимальних прав root/SYSTEM.


Під зломом системи віртуалізації розуміється успішний обхід обмежень гіпервізора, які він накладає на виконуваний у віртуальній машині код. Тобто security-дослідникам надається можливість продемонструвати роботу експлойта, який використовує одну або декілька вразливостей в системі безпеки віртуальної машини для виконання коду на реальній машині (хості) з процесу на гостьовій системі. Демонструється експлойт повинен успішно працювати на самому актуальному ПО та ОС.

The demonstration must prove that the virus program can successfully run an arbitrary
code in the context of virtual machine host process. For example, the contestant may
choose to run a command line tool in host operation system. The contestant can choose
any methods they like, but the methods must meet the above вимога clearly
Дослідники Qihoo 360 також успішно виконали віддалений код на смартфоні Google Pixel з Android 7, заробивши при цьому $120 k.


Інші результати.

  • Відома команда security-ресерчеров iOS Pangu Team успішно скомпрометувала веб-браузер Safari на OS X Sierra, заробивши $80k.
  • Відомий хакер з Південної Кореї з ніком Lokihardt, успішно скомпрометував веб-браузер, Edge на новітній Windows 10 x64 RS1, а також зумів підвищити свої привілеї в системі до рівня SYSTEM, заробивши при цьому $140k.
  • Дослідники Qihoo 360 успішно виконали код на Flash Player, підвищивши свої привілеї в системі до рівня SYSTEM з використанням LPE-уразливості в win32k.sys, заробивши $120 k.
Після демонстрації роботи експлойтів, інформація про використовувалися в них 0day вразливості надсилається відповідним вендорам на виправлення.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.