Pwn2Own 2015: przeglądarki bez szans w starciu z hakerami

W ubiegłym tygodniu odbyła się konferencja CanSecWest sponsorowana przez Hewlett-Packard Zero Day Initiative. W trakcie imprezy zorganizowano także tegoroczną edycję konkursu hakerskiego Pwn2Own. Podczas dwudniowych zawodów specjaliści poradzili sobie z zabezpieczeniami wszystkich czterech najważniejszych przeglądarek internetowych – Google Chrome, Mozilla Firefox, Internet Explorer oraz Apple Safari. 

Podczas pierwszego dnia HP przyznało nagrody w wysokości 317 500 dolarów dla naukowców, którzy wykryli i wykorzystali błędy w programach Adobe Flash, Adobe Reader, Internet Explorer oraz Firefox. Drugi dzień zmagań poświęcony był już wyłącznie czterem najważniejszym przeglądarkom internetowym.

Pierwsza nagroda (15 000 dol.) trafiła do hakera podpisującego się jako ilxu1a. Wykorzystał on lukę w pamięci Firefoksa, dzięki której w mniej niż sekundę przedarł się przez zabezpieczenia. Z przeglądarką fundacji Mozilla poradził sobie także nasz rodak, Mateusz Młyński. Dzięki swojemu programowi doprowadził do nieautoryzowanego podwyższenia uprawnień, za co otrzymał 55 tysięcy dolarów.

I choć obydwa te programy pokonały zabezpieczenia przeglądarki Firefox w mniej niż sekundę, ich stworzenie zajęło oczywiście znacznie więcej czasu. Daniel Veditz, główny inżynier Mozilli ds. bezpieczeństwa stwierdził, że szkodniki były bardzo zaawansowane. Niemniej prace nad załataniem luk już się rozpoczęły.

Dwukrotnie złamane zostały też zabezpieczenia 64-bitowej przeglądarki Internet Explorer 11. Udało się to ekipie 360Vulcan Team oraz działającemu w pojedynkę JungHoon Lee. Ci pierwsi wykorzystali lukę związaną z niezainicjowaną pamięcią. Koreańczyk natomiast wziął pod lupę luki TOCTOU (time-of-check to time-of-use), które pozwoliły mu zmodyfikować uprawnienia do zapisu I odczytu. 

JungHoon Lee przeprowadził również udane ataki na pozostałe przeglądarki. Jak więc możecie się domyślać, opuścił imprezę z pełnymi kieszeniami: otrzymał 75 tysięcy dolarów (za złamanie zabezpieczeń w Chrome), 65 tysięcy (IE) i 50 tysięcy (Safari) oraz dwie premie w wysokości łącznie 35 tysięcy dolarów.

Łącznie podczas Pwn2Own 2015 wykryto:

• 5 błędów w systemie Windows
• 4 błędy w Internet Explorer 11
• 3 błędy w Mozilla Firefox
• 3 błędy w Adobe Reader
• 3 błędy w Adobe Flash
• 2 błędy w Apple Safari
• 1 błąd w Google Chrome

Szczegółowe podsumowanie znajdziecie na blogu HP. Poniżej zaś możecie zobaczyć wideo przygotowane przez HP:

Konferencja CanSecWest oraz odbywający się podczas niej konkurs Pwn2Own to świetna impreza. Pozwala specjalistom ds. bezpieczeństwa podzielić się swoimi odkryciami, za co oni otrzymują pieniądze, a my, użytkownicy, lepiej załatane oprogramowanie. 

Źródło: Softpedia, TechSpot, eWeek, ZDNet, HP Blog