Неутешительные вести с Pwn2Own 2013 и Pwnium 3

Сегодня были подведены официальные итоги конкурсов Pwn2Own 2013 и Pwnium 3, проходящих в рамках конференции по информационной безопасности CanSecWest. По итогам конкурсов исследователи выявили уязвимости в браузерах Google Chrome, Mozilla Firefox, Internet Explorer, подключаемых модулях Adobe Flash, Oracle Java Runtime и Adobe Reader.

Pwn2Own - известный конкурс, в котором ежегодно назначается внушительный призовой фонд на уровне расценок за уязвимости на чёрном рынке, по взлому интернет-браузеров и сопутствующих подключаемых модулей. В этом году титульными спонсорами и организаторами выступили Hewlett-Packard и Google при поддержке Mozilla Foundation, Microsoft и других компаний. Pwnium - конкурс, проводимый корпорацией Google, на взлом продуктов проекта Chromium. В третьей версии конкурса компания предлагала взломать Google Chrome OS как на уровне браузера, так и на уровне системы.

Организаторы конкурса Pwn2Own 2013 - HP и Google

В рамках Pwn2Own первой отличилась французская фирма VUPEN, занимающаяся консалтингом корпоративного рынка по вопросам безопасности, продемонстрировала полный взлом браузера Internet Explorer 10 в среде Windows 8 путём выявления двух уязвимостей нулевого дня с использованием эксплойта, обходящим все механизмы защиты системы и браузера. На этом компания не остановилась - под напором пытливых умов пал и Mozilla Firefox на Windows 7, где была показан новый способ обхода механизмов DEP/ASLR, который ранее известен не был. Кроме того, французы успешно скомпрометировали Oracle JRE и Adobe Flash Player.

Но для Java RE проблемы не закончились: в течение конкурса были показаны ещё три варианта взлома модуля от Джошуа Дрейка (Accuvant Labs), Джеймса Форшоу (Context Information Security) и от энтузиаста Бена Мёрфи через прокси-сервер. Adobe Reader стал жертвой Джорджа Хотца, известного ранее своими взломами Apple iPhone.

Специалисты MWR Labs добились взлома Google Chrome на Windows 7. Для выполнения произвольного кода в компании использовали уязвимость в движке WebKit, а для выхода из песочницы была применена уязвимость ядра NT в системе. Уязвимость в WebKit уже позволяла получить возможность считывать некоторые объекты в памяти, считывать произвольные данные, но для исполнения кода потребовалось найти и использовать уязвимость нулевого дня в NT.

Что касается браузера Apple Safari, то его по условиям конкурса требовалось взломать на Mac OS X, но организаторы конкурса не получили ни одной заявки на взлом, что позволило браузеру остаться в целости и сохранности. В MWR Labs не предоставили какой-либо информации о том, является ли WebKit-уязвимость Chrome применимой и для Safari, поэтому необходимо ждать дополнительных уточнений.

По итогам Pwn2Own все данные об уязвимостях и эксплойтах были направлены в компании, разрабатывающие ОС и браузеры, поэтому подробные данные об уязвимостях будут опубликованы только после выпуска исправлений. Награды распределились следующим образом: за один взлом Oracle JRE - $20 тыс. USD, Firefox на Windows 7 - $60 тыс. USD, Adobe FP или Adobe Reader в IE9 на Windows 7 - по $70 тыс. USD, IE10 на Windows 8 и Google Chrome на Windows 7 - по $100 тыс. USD. Кроме того, победители могли забрать ноутбуки, на которых демонстрировали уязвимости, а также получали по $5 тыс. USD от Zero Day Initiative и полностью оплачиваемую поездку на конференцию DEFCON в Лас-Вегасе.

Чауки Бекрар

Глава VUPEN, Чауки Бекрар, прокомментировал нынешнюю ситуацию с безопасностью браузеров и подключаемых модулей так:

В целом писать эксплойты стало значительно сложнее. Это, правда, не касается Oracle JRE из-за отсутствия адекватной песочницы. А вот с Flash совершенно иная ситуация: он постоянно обновляется, а Adobe провела отличную работу по укреплению механизмов безопасности модуля. Сейчас для создания надёжного эксплойта для Flash требуется куда больше времени, чем для JRE, а пока ты работаешь, Adobe выпускает массу хот-фиксов, которые ломают половину твоего кода, и приходится начинать заново.

Oracle необходимо просто полностью переписать код своего модуля, так как даже если в JRE появится песочница, то всех проблем она не решит, а только поправит самые очевидные ляпы, но от внимательного подхода даже песочница не спасёт, потому что кодовая база слишком большая.

Что касается браузеров, то по нашему мнению самым безопасным браузером является Google Chrome, потому что у него самая развитая песочница. Да, WebKit - это проблема, но уязвимости в нём наталкиваются на общую архитектуру браузера, которая превращает написание эксплойта в настоящую боль. Одной из главных причин защищённости браузера в том, что ребята из Google думают не только о том, чтобы закрыть уязвимость, они очень активно развивают все механизмы защиты, предупреждая возможности для взлома и выхода из песочницы.

Что касается исправлений, то Mozilla и Google в течение 24 часов уже выпустили обновления для своих браузеров в основную ветку обновлений. Исправление уязвимостей Internet Explorer отложены, как минимум, до вторничного патча. Даты обновлений подключаемых модулей пока не названы, поэтому пока рекомендуется либо вообще выключить Flash Player, Reader и JRE, либо установить ограничение на запуск только на доверенных сайтах.

А вот с Pwnium 3 всё сложнее. Призовой фонд Google в $3,14159 млн. USD остался в целости по той причине, что никто не смог взломать Chrome OS ни в номинации только браузер ($110 тыс. USD), ни в номинации компрометация системы (использование любого компонента системы - за $150 тыс. USD). Тем не менее, команда Google заявила, что некоторые попытки взлома использовали несовершенство механизмов безопасности, поэтому меньшие поощрительные призы будут вручены позже.