今年、第10回Pwn2OwnハッカーコンペティションがZero Day Initiativeによって開催されました。 毎年、Habrの著者は競技の経過について語っていますが、今年は何らかの理由でこれは起こりませんでした。 したがって、 Kingserversは 、この省略を修正します。 したがって、今年のコンテストの賞金は記録的な100万ドルでした。 参加者は、5つの主要なカテゴリでスキルを示すように求められました。
これは、仮想マシン(VMware WorkstationおよびMicrosoft Hyper-V)のハッキング、ブラウザーおよびそれらのプラグイン(Microsoft Edge、Google Chrome、Mozilla Firefox、Apple SafariおよびEdge用Flash Player)のハッキング、権限昇格(Microsoft Windows、macOS、およびUbuntuのデスクトップバージョン)です。 )、さまざまな種類のエンタープライズアプリケーション(Adobe Reader、Word、Excel、PowerPoint)をハッキングし、サーバー(UbuntuでのApache Webサーバー)をハッキングします。 参加者は多くのことを管理し、競争は非常に面白かったと言わなければなりません。
初日、2つの独立したチームがAdobe Readerをクラックしました。 その後、Windows OSカーネルのいくつかの脆弱性の助けを借りて、専門家は最高レベルのアクセスを受けて特権を増やしました。 ちなみに、両チームは中国出身でした。一般的に言えば、中国人はこの大会で自分たちをうまく見せました。 最初のチームである360 Securityは目標を達成するために5万ドルを受け取り、2番目のチームはTencent-半分の金額を受け取りました。
他の2つのチームは、Safariブラウザーをクラックすることができました。 サミュエル・グロスとニクラス・バウムスタークが率いる最初の著名なチーム。 Chaitin Technology(中国)の2番目のチームも目標を達成しました。 参加者の両方のチームは、macOSでスーパーユーザー特権を使用してサードパーティコードを実行することを可能にする脆弱性を処理しました。 このブラウザをハッキングした結果、最初のチームは2万8千ドル(新しいMacBook Proのタッチパネルでメッセージの結論を達成したため、目標を部分的にしか達成できませんでした)、2つ目は3万5千ドルを受け取りました。
サンドボックスの存在により、ブラウザーのハッキングに対して最も耐性があると考えられているMicrosoft Edgeをハッキングする際、Tencentの中国人も際立っています。 これらの専門家はサンドボックスの境界を越えていくことができたため、彼らはすでに設定された目標の達成のために8万ドルを受け取っています。
ちなみに、Microsoft Edgeは競合で最もハッキングされたブラウザの1つになり、その防御は5回克服されました。 イベントの3日目に、Microsoft Edgeはサイバーセキュリティの専門家であるRichard Zhuによって再びハッキングされました。
Safariブラウザーは出場者に4回、Firefoxに屈しました。一度はGoogle Chromeをクラックしようとしましたが、十分な時間はありませんでした。
Tencentの同胞であるChaitinチームは、Ubuntu 16.10のデスクトップバージョンでカーネルレベルの権限昇格を使用した攻撃に成功したため、さらに15,000ドルを受け取りました。 中国人は、Linux 4.8カーネルの脆弱性を使用したハッキングを示しました(名前付きディストリビューションで使用されています)。 当初、攻撃者は基本的なユーザーアクセスのみを持っていましたが、最終的に彼はルート権限を取得することができました。 Canonicalは、見つかった脆弱性について既に通知されています。
最大の賞金は、Qihoo 360チームの代表者が受け取った105,000ドルで、VMware Workstationの保護を破ることができました。 中国人はMicrosoft Edgeの妥協から始め、その後Windowsカーネルに切り替えて、目標を達成しました。 Team Sniperは、仮想マシンとホストOS間の障壁を克服することもできました。
競争の結果によると、中国人は前進した。 最大ポイント数の1位はQihoo 360チーム、2位と3位はそれぞれTencent Team SniperとChaitin Technologyチームに優勝しました。
ハッキングされた企業はパッチを緊急にリリースします。 そのため、先週金曜日にMozillaは、脆弱性を排除したFirefox 52.0.1を導入しました。
