Минулого тижня в Канаді, в рамках конференції CanSecWest, пройшло змагання Pwn2Own 2018 . І хоча в цьому році, завдяки підтримці Microsoft і VMware, розмір призового фонду заходу був збільшений до 2 000 000 доларів, дослідникам вдалося забрати додому лише 267 000 доларів, тобто значно менше, ніж в попередні роки. Нагадаю, що за підсумками Pwn2Own 2017 представники Trend Micro Zero Day Initiative (ZDI) виплатили учасникам 833 000 доларів за 51 виявлену уразливість, а в 2016 році white hat'и заробили 460 000 доларів і знайшли 21 баг.

Представники ZDI пишуть, що хакери показали себе гірше, ніж очікувалося, відразу з кількох причин. Так, деякі фахівці, які зареєструвалися для участі в Pwn2Own, були змушені зняти свої кандидатури з конкурсу, так як під час березневого «вівторка оновлень» компанія Microsoft усунула вразливості, які експерти планували використовувати. Крім того, на початку поточного місяця влада Китаю висловилися проти участі в Pwn2Own китайських фахівців. Представники влади вважають, що дослідники не повинні ділитися експлойтів і інформацією про уразливість з третіми сторонами за кордоном. Замість цього було запропоновано повідомляти про проблеми безпосередньо вендорам.

Тим не менше, кілька хороших зломів на Pwn2Own все ж показали. так, в перший день змагань Річард Чжу (Richard Zhu) не зміг зламати браузер Safari, однак успішно продемонстрував ланцюжок експлойтів, які скомпрометували браузер Edge, що принесло йому 70 000 доларів. В цей же день фахівець команди Phoenhex Ніклас Баумштарк (Niklas Baumstark) зламав VirtualBox, заробивши 27 000 доларів. Його колега по команді Семюел Гросс (Samuel Groß) показав успішну компрометацію Safari, що принесло Phoenhex ще 65 000 доларів.

Другий день змагання все той же Чжу додав до свого призу ще 50 000 доларів, зламавши Firefox за допомогою out-of-bounds уразливості в самому браузері і переповнення целочисленного типу в ярді Windows. Цього року саме Чжу заслужив звання Master of Pwn, ставши найрезультативнішим учасником змагань. Сумарно експерт заробив 120 000 доларів.

Річард Чжу і експерт ZDI

Також у другий день фахівці Ret2 Systems успішно використовували ланцюжок експлойтів проти браузера Safari, однак злом вдався лише з четвертої спроби, тоді як за правилами Pwn2Own здійснити компрометацію потрібно з трьох спроб. В результаті хак не приніс фахівцям нагороду в рамках конкурсу. Втім, представники ZDI все одно викупили у експертів інформацію про уразливість, щоб потім передати її Apple.

Крім того, у другий день злом вдався у представників MWR Labs. Вони продемонстрували втечу з пісочниці в Safari, використавши для цього переповнення буфера Хіпа в браузері, а також атаку типу uninitialized stack variable проти самої macOS. Цей хак приніс фахівцям 55 000 доларів.

Нагадаю, що в рамках змагання також пройшов окремий Windows Insider Preview челлендж, в рамках якого учасникам пропонували «розкрити» Windows Defender Application Guard для Edge, Windows SMB, а також Windows Hyper-V. На жаль, ніхто не зламав не тільки їх, але також Chrome, NGNIX, Apache httpd, OpenSSL, vMware Workstation, Adobe Reader, MS Office 365 ProPlus і MS Outlook.