Второй день Pwn2Own завершился успешной эксплуатацией уязвимостей во всех заявленных браузерах: Google Chrome, Microsoft IE11, Apple Safari, Mozilla Firefox. Информацию о первом дне соревнований мы размещали в предыдущем посте, там же была указана используемая конфигурация браузеров и ОС. В отличие от первого дня, на сей раз было продемонстрировано удаленное исполнение кода и в браузере Google Chrome.
Обновление для браузера Mozilla Firefox, которое устраняет продемонстрированные на контесте уязвимости уже было выпущено для пользователей. Обновления для других браузеров придут позднее. За два дня соревнования ресерчерам удалось заработать $557,500, причем успешному взлому подверглись все заявленные браузеры и плагины для них.
Выплаченные средства второго дня соревнования распределились следующим образом:
- Mozilla Firefox x 1 = $15K
- MS IE11 x 1 = $65K
- Google Chrome x 1 = $75K + 25K (sandbox bypass, SYSTEM) + $10K (beta version exploitation) = $110K
- Apple Safari x 1 = $50K
= $240K cash.
Участникам соревнований удалось обойти механизм sandbox, который браузеры используют для изоляции процессов своих вкладок в ОС. Дополнительное вознаграждение в размере $25K выплачивалось за эксплуатацию уязвимости в самой Windows, которая позволяла исполнить код на максимальном уровне привилегий SYSTEM (full sandbox bypass). В случае с IE11 механизм sandbox (EPM) был обойден через внедрение в процесс браузера специального фрагмента JavaScript, который позволил исполнить код на уровне Medium Integrity Level (IL). В случае с Google Chrome, кроме эксплуатации самой RCE уязвимости, был продемонстрирован LPE-эксплойт для Windows, который позволял повышать привилегии в системе до уровня SYSTEM. Исследователям также удалось скомпрометировать бета-версию браузера.
За оба дня соревнования были продемонстрированы следующие уязвимости в продуктах:
- 5 уязвимостей в Windows;
- 4 уязвимости в IE11;
- 3 уязвимости в Firefox;
- 3 уязвимости в Adobe Reader;
- 3 уязвимости в Adobe Flash;
- 2 уязвимости в Apple Safari;
- 1 уязвимость в Chrome.
The exploit must work when all of Microsoft’s Enhanced Mitigation Experience Toolkit (most current version) mitigation protections compatible with the target are fully enabled. The vulnerabilities utilized in the attack must be unknown, unpublished, and not previously reported to the vendor.
В этом году планка сложности эксплуатации была увеличена, кроме использования 64-битных приложений и OS, регламентом определялось присутствие активного инструмента MS EMET в системе, который позволяет блокировать большое количество приемов, используемых эксплойтами в своей работе, в т. ч. для обхода DEP & ASLR. Как обычно, демонстрируемые уязвимости и эксплойты к ним должны быть прежде неизвестными (0day) и не должны были быть публично разглашены перед контестом.
Автор: esetnod32