Pwn2Own 2015: никто не устоял

Конкурс хакеров Pwn2Own уже зарекомендовал себя в качестве мероприятия, на котором специалисты по информационной безопасности раз за разом демонстрируют, что создатели программного обеспечения на шаг позади злоумышленников. В этом году тенденция продолжилась, дополнившись ещё и скандалом, связанным с французской компанией VUPEN — многократной победительницей прошлых конкурсов.

Основатель и генеральный директор VUPEN, Чауки Бекрар, чья команда четыре года подряд демонстрировала эксплуатацию различных уязвимостей, в этом году обрушился с критикой на организаторов конкурса — Zero Day Initiative (дочерняя организация Hewlett-Packard). По его мнению, ужесточать условия конкурса, не повышая при этом размер вознаграждения — порочная практика, и VUPEN не собирается тратить своё время на благотворительность для коммерческих компаний. Дело в том, что по условиям Pwn2Own 2015 впервые программы-жертвы будут использоваться не просто в полностью обновлённых дистрибутивах ОС со стандартными, включёнными по умолчанию механизмами защиты, но и в случае с Windows — с включенным пакетом EMET, не входящим в поставку системы и предназначенным как раз для значительного усложнения действий злоумышленников. При этом, награда за успешный взлом не изменилась — самой щедрой была Google с $75000 USD с бонусом $25000 за демонстрацию исполнения произвольного кода и повышение привилегий (на конкурсе обычно требуют продемонстрировать запуск калькулятора с полномочиями администратора через уязвимую программу). В итоге господин Бекрар обвинил организаторов в безответственности, и VUPEN вернётся на Pwn2Own только тогда, когда награда будет соответствовать сложности. Кроме VUPEN, из известных команд на конкурс не прибыла и британская MWR Labs, хотя она никак не прокомментировала своё решение, и оно может быть не связано с небольшой наградой.

Впрочем, и без известных тяжеловесов демо-сцена на Pwn2Own в Ванкувере была похожа скорее бойню, где раз за разом показывали успешные эксплойты. Первыми с совместной демонстрацией выступили команды Team509 и KeenTeam, которые смогли провести атаку с переполнением стека и выполнением произвольного кода в модуле Adobe Flash, после чего они использовали уязвимость ядра Windows в области обработки TrueType, благодаря чему они обошли все механизмы защиты ОС и получили повышенные права. Итого — $60000 за Flash + $25000 за повышение привилегий. На этом проблемы Flash не закончились, так как хакер Николас Джоли смог продемонстрировать атаку типа use-after-free с выходом из песочницы, но он стал жертвой ужесточившихся правил и получил только $30000, так как полную награду мог получить только первый конкурсант, взломавший продукт, а им стала команда Team509/KeenTeam. Впрочем, господин Джоли далеко от демо-сцены уходить не стал и продемонстрировал уязвимость с переполнением стека в Adobe Reader, добившись выполнения произвольного кода. В этот раз награда составила $60000, а общая — $90000. По словам самого хакера, эксплойты он в авральном режиме дописывал пока летел в самолёте в Ванкувер, поэтому, если это правда, это плохая реклама продуктам Adobe. Впрочем, за «головой» Reader пришла также и команда хакеров из компаний KeenTeam и Tencent, которые смогли провести ещё одну атаку переполнения, а через другой баг в TTF получить системный доступ. Итог — $30000 за Adobe Reader и $25000 за повышение прав доступа. После этого конкурсанты взялись за браузеры — Mozilla Firefox и Internet Explorer. Ветеран конкурса Мариуш Млински атаковал «огненного лиса», найдя cross-origin уязвимость, после чего использовал логическую ошибку в Windows, получив в итоге $30000 за победу над Firefox и $25000 за повышение привилегий, причём на всё про всё ему потребовалось полсекунды из 30 минут, доступных на демострацию. Новичок турнира, команда 360Vulcan, взялась за Internet Explorer 11, атаковав две уязвимости в обработке памяти и добившись выполнения произвольного кода и частичного выхода из песочницы, что сказалось на уменьшенной награде — $32500.

На следующий день конференции CanSecWest в Ванкувере состоялся второй этап конкурса, на котором вновь без «жертв» не обошлось. Хакер ilxu1a начал день со взлома Firefox, в котором была уязвимость чтения/записи, что позволило добиться выполнения произвольного кода с правами пользователя. В итоге он получил половину максимальной награды за взлом этого браузера — $15000. Затем последовал тройной триумф хакера Юн-Хун Ли (lokihardt), который сначала атаковал Internet Explorer 11, эксплуатировав TOCTOU-уязвимость (изменение между проверкой аргумента и использованием результата проверки). Он смог обойти все системы защиты, добившись полного выхода из песочницы браузера, что дало ему в итоге полную награду — $65000. После первой победы хакер отправился ставить рекорд конкурса, нацелившись на Google Chrome. Он использовал похожую TOCTOU-уязвимость и в этом браузере, скомбинировав его с атакой переполнения буфера, после чего смог использовать две различные уязвимости ядра Windows, добившись повышения привилегий. В итоге рекорд был взят — хакер получил $75000 за Chrome-уязвимость, ещё $10000 надбавки от Google за то, что уязвимость успешно эксплуатировалась и в Beta-канале обновлений, где применяются различные экспериментальные техники защиты, а также ещё $25000 за получение системных полномочий. Общая награда в сумме $110000 оказалась рекордом конкурса. Казалось бы, что на таком успехе можно было бы и закончить, но неугомонный lokihardt взялся ещё и за Safari, использовав уязвимость типа use-after-free, после чего смог обойти песочницу браузера через другую уязвимость для выполнения произвольного кода. Итог — $50000 за Safari, и $225000 за весь день. После него к Google Chrome подступился также вышеупомянутый ilxu1a, но он не смог уложиться в получасовое окно на демонстрацию из-за проблем его кода с получением утечки данных.

По итогам конкурса ни один из программных продуктов не смог устоять:

• 5 ошибок безопасности в Windows
• 4 ошибки безопасности в Internet Explorer
• 3 ошибки безопасности Mozilla Firefox
• 3 ошибки безопасности в Adobe Reader
• 3 ошибки безопасности в Adobe Flash
• 2 ошибки безопасности в Apple Safari
• 1 ошибка безопасности в Google Chrome

Данные обо всех уязвимостях были переданы компаниям-разработчикам приложений для создания патчей, а сами уязвимости в подробностях будут опубликованы не ранее чем через полгода с момента демонстрации взлома. На данный момент компании Google и Mozilla уже выпустили исправления для своих продуктов, тогда как Adobe, Apple и Microsoft пока работают над этим.