В Сеуле прошел PwnFest

В столице Южной Кореи прошел конкурс, известный под названием PwnFest. Однозначным лидером в этой технологической гонке стала команда китайских хакеров Qihoo 360. Китайские эксперты всего за 60 секунд удаленно внедрили в смартфон вредоносный код и получили абсолютный контроль над приложениями Play Store и Chrome.

Соревнование (контест) между security-ресерчерами под названием PwnFest чем-то напоминает другой известный контест - Pwn2Own. PwnFest проходил в Южной Корее, где исследователям по безопасности предлагалось скомпрометировать различные устройства и приложения для удаленного исполнения кода, а также повышения своих привилегий в системе. Спектр предлагаемых для взлома продуктов достаточно обширен, это веб-браузер Edge на Windows 10, ОС Android 7 на новейшем устройстве Google Pixel, известная среда виртуализации Microsoft Hyper-V, веб-браузеры Google Chrome и Apple Safari, а также VMware Workstation, Adobe Flash Player и Apple iOS 10.
Команда китайских исследователей по безопасности из известной компании Qihoo 360 Technology не только сумела успешно скомпрометировать Microsoft Edge, VMware Workstation, Adobe Flash, Google Pixel, а также выиграть титул "Lord of Pwn". В общей сложности команда заработала 530 тысяч долларов США.

Все предназначенные для компрометации приложения, а также ОС являются полностью обновленными до актуального состояния (up-to-date). Расценки в случае доступных кейсов атак приведены ниже. Видно, что самая высокая цена предлагается за взлом систем виртуализации VMware Workstation, а также MS Hyper-V. Под extra-вознаграждением подразумевается не только успешное исполнение кода, но также обход ограничений sandbox, т. е. получение максимальных прав root/SYSTEM.
Под взломом системы виртуализации понимается успешный обход ограничений гипервизора, которые он накладывает на исполняемый в виртуальной машине код. Т. е. security-исследователям предоставляется возможность продемонстрировать работу эксплойта, который использует одну или несколько уязвимостей в системе безопасности виртуальной машины для исполнения кода на реальной машине (хосте) из процесса на гостевой системе. Демонстрируемый эксплойт должен успешно работать на самом актуальном ПО и ОС.
Другие результаты:
- Известная команда security-ресерчеров iOS Pangu Team успешно скомпрометировала веб-браузер Safari на OS X Sierra, заработав 80 тысяч долларов США.
- Известный хакер из Южной Кореи с ником Lokihardt, успешно скомпрометировал веб-браузер Edge на новейшей Windows 10 x64 RS1, а также сумел повысить свои привилегии в системе до уровня SYSTEM, заработав при этом 140 тысяч долларов США.
- Исследователи Qihoo 360 успешно исполнили код на Flash Player, повысив свои привилегии в системе до уровня SYSTEM с использованием LPE-уязвимости в win32k.sys, заработав 120 тысяч долларов США.
После демонстрации работы эксплойтов, информация об использовавшихся в них 0day уязвимостях отправляется соответствующим вендорам на исправление. Компания Google не только не возражает против взлома своих смартфонов, но и активно приветствует подобные хакерские атаки.