На соревновании Pwn2Own 2017 продемонстрированы взломы Ubuntu и Firefox

17.03.2017 22:52

Завершился третий день соревнования Pwn2Own 2017, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей, которые привели к успешному выполнению кода атакующего в системе. За три дня соревнований в качестве премий было выплачено 833 тысячи долларов за демонстрацию 18 атак. Успешно были атакованы браузеры Firefox, Safari и Microsoft Edge, а также в Ubuntu, Windows, macOS, Adobe Reader, Adobe Flash и VMWare Workstation. Остались невзломанными Chrome и Apache httpd.

В первый день соревнования были проведены по два взлома Adobe Reader и Apple Safari, по одному разу взломали Microsoft Edge и Ubuntu Desktop. В Ubuntu 16.10 была продемонстрирована локальная 0-day уязвимость в ядре Linux, позволившая локальному пользователю поднять свои привилегии в системе. Предложенная для взлома серверная конфигурация Ubuntu с Apache httpd осталась невостребованной, так как ни одна из участвующих в конкурсе команд не подала заявок на проведение атаки (необходимые уязвимости не были найдены), несмотря на существенный размер премии в 200 тысяч долларов. Что касается Google Chrome, то одна из групп попыталась продемонстрировать атаку, но она оказалась неуспешной.

Во второй день были успешно совершены две атаки на Adobe Flash, две атаки на Microsoft Edge, одна атака на Windows (локальное повышение привилегий) и две атаки на Apple macOS. На Safari было успешно совершено две атаки, причём одна из них завершилась получением root доступа в macOS и была проведена с привлечением 6 ранее неизвестных уязвимостей, одна из которых в ядре macOS. Firefox пытались взломать два раза, одна попытка не увенчалась успехом (не хватило времени), но вторая завершилась удачно (для выполнения кода в системе было эксплуатировано целочисленное переполнение в функции createImageBitmap() и уязвимость в ядре Windows для обхода sandbox-изоляции).

В третий день два раза был успешно атакован Microsoft Edge, а также продемонстрировано два взлома VMWare Workstation, которые привели к выполнению кода за пределами виртуальной машины. Первый взлом был совершён в рамках атаки на Edge, а второй в виде отдельной демонстрации. Для организации выполнения кода на стороне хоста при совершении атаки внутри гостевой системы были вовлечены три 0-day уязвимости: уязвимость в ядре Windows, утечка информации в VMware и использование неинициализированного буфера в VMware.

Атаки на браузеры были совершены при обработке специально оформленной web-страницы (или открытие документа в Adobe Reader). Демонстрация признавалась успешной, если открытие страницы завершилось получением полного контроля над системой. При проведении атак использовались самые свежие стабильные выпуски браузеров и операционных систем со всеми доступными обновлениями в конфигурации по умолчанию. В соответствии с условиями конкурса, детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только после выпуска производителями обновлений с устранением продемонстрированных уязвимостей.

Приз за взлом гипервизора составляет 100 тысяч долларов, Microsoft Edge или Google Chrome - 80 тысяч долларов, Apple Safari, Adobe Reader, Microsoft Word, Excel или PowerPoint - 50 тысяч долларов, Firefox - 30 тысяч долларов, локальное повышение привилегий через ядра Windows, macOS и Ubuntu - 30, 20 и 15 тысяч долларов.

Дополнение: Используемая в атаке на Firefox уязвимость устранена в выпуске Firefox 52.0.1.

исправить +28 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46213-pwn2own

Ключевые слова: pwn2own

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.6, Аноним (-), 23:51, 17/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
RedHat такой старый и ентпрайзный что к нему даже не прикасались.

1.8, kirigiri (?), 23:59, 17/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> На Safari было успешно совершено две атаки, причём одна из них завершилась получением root доступа в macOS Каким образом атака на браузер запущщеный от имени обычного пользователя завершилась получением прав root в целой системе?

2.9, Аноншто (?), 00:15, 18/03/2017 [^] [^^] [^^^] [ответить]	+/–
Вероятно, сперва "пробили" браузер добившись выполнения своего кода в системе из под текущего юзера. Далее, атаковали и "пробили" сервис(демон) работающий под рутом.

2.34, Аноним (-), 10:35, 18/03/2017 [^] [^^] [^^^] [ответить]

+5 +/–

> Каким образом атака на браузер запущщеный от имени обычного пользователя завершилась
> получением прав root в целой системе?

ровно таким же, как атака на edge внутри виртуалки под вмварью завершилась получением админского доступа в винде, под которой крутится эта вмварь.

2.84, Аноним (-), 13:49, 19/03/2017 [^] [^^] [^^^] [ответить]	+/–
> Каким образом атака на браузер запущщеный от имени обычного пользователя завершилась получением прав root в целой системе? Сходите по ссылкам. Они использовали несколько дыр, включая дыру в сафари и privilege escalation в макоси.

1.22, Аноним (-), 06:52, 18/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А вот и устранение видимо https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/#firefox5

1.28, Аноним (-), 08:45, 18/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+12 +/–
> Предложенная для взлома серверная конфигурация Ubuntu с Apache httpd осталась невостребованной, так как ни одна из участвующих в конкурсе команд не подала заявок на проведение атаки (необходимые уязвимости не были найдены), несмотря на существенный размер премии в 200 тысяч долларов. Или, как весьма вероятный вариант, где-то смогли предложить размер посущественней.

2.29, Аноним (-), 09:20, 18/03/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Не все в мире подлецы и продаются за деньги.

3.30, Аноним (-), 09:33, 18/03/2017 [^] [^^] [^^^] [ответить]	+7 +/–
Как-то не слишком успокаивает мысль, что всё держится на морально-нравственных устоях горстки людей, на каждого из которых, к тому же, не сильно затруднительно надавить.

4.41, тоже Аноним (ok), 12:57, 18/03/2017 [^] [^^] [^^^] [ответить]	+/–
Потенциально надавливающих, как ни странно, почему-то эта мысль тоже не слишком успокаивает. Впрочем, с нечистой совестью, говорят, вообще жить трудно. Хотя... может, они сами это и говорят - зачем им конкуренция?

5.64, Аноним (-), 18:46, 18/03/2017 [^] [^^] [^^^] [ответить]	+3 +/–
Пока вы теребонькаете об устоях, изобретатели и блюстители этих устоев вас уже обнесли. И не по первому разу ;)

1.33, Аноним (33), 10:30, 18/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
завершился 3й день продажи сплоитов )

1.44, DmA (??), 13:38, 18/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>>Остались невзломанными Chrome и Apache httpd. Они заплатили больше чтобы их не взламывали? :)

2.47, Аноним (-), 14:12, 18/03/2017 [^] [^^] [^^^] [ответить]	+7 +/–
Сомневаюсь, что деньги, которыми может расплатиться Апач, принимают в мире живых.

3.85, Аноним (-), 13:54, 19/03/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> Сомневаюсь, что деньги, которыми может расплатиться Апач, принимают в мире живых. Зато nginx ломают только в путь. Достаточно вспомнить переполнения буфера в резольвере, или повышение привилегий до рута через симлинк на лог. А уж эпичный remote shell в SPDY...

1.58, Аноним (-), 18:33, 18/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Почему такие расценки на > локальное повышение привилегий через ядра ? То есть, повысить привилегии в Убунту (ядро Линукс!) - это как два пальца, в макоси посложнее, а вот в винде так и вообще придётся попотеть?

2.68, BaRoN (?), 19:05, 18/03/2017 [^] [^^] [^^^] [ответить]	+/–
Да и нет. Исходники линукса и Дарвина доступны, что уже упрощает работу.

Часть нити удалена модератором

4.75, Аноним84701 (ok), 20:25, 18/03/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Чисто в сферической теории - возможно все На практике, в вашем клосет-сорце час... большой текст свёрнут, показать

5.86, iPony (?), 06:50, 20/03/2017 [^] [^^] [^^^] [ответить]

–2 +/–

Так то верно, но сравнение IE + Adobe Falsh Player VS Linux Kernel весьма странное. Программы, занимающиеся разбором разнородных данных из сети, и более локальной штукой.

Вот на тебе фурифокс http://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452 - (697 дырок c возможностью выполнения произвольного кода)

Закрытость или открытость кода действительно не является каким то четким фактором, влияющим на безопасность продукта.

5.90, Аноним (-), 10:00, 22/03/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Кто мешает DEP включить? Да по умолчанию только для системных служб, но кто мешает?

6.93, Аноним84701 (ok), 16:17, 22/03/2017 [^] [^^] [^^^] [ответить]

+/–

> Кто мешает DEP включить? Да по умолчанию только для системных служб,

Как бы, это и понимается под "Оpt-In" ;)
Оно вроде есть, но опционально. Но да, есть. Но за 5рублей^W^W простой пользователь вряд ли полезет включать. Поэтому толку от этой опции …
> но кто мешает?

Откуда мне знать, кто там мешает? Я что, саппорт МС?
Но есть подозрение, что целая куча легаси и нежелание МС связываться с поддержкой этого легаси.
Как минимум, куча "протекторов" экзешников середины-конца двухтысячных (дальше не скажу, т.к. перестал интересоваться) не работают с DEP. Соответственно и все программы под этими "защитниками".

2.71, Аноним84701 (ok), 19:30, 18/03/2017 [^] [^^] [^^^] [ответить]

+2 +/–

> Почему такие расценки на
>>локальное повышение привилегий через ядра
> То есть, повысить привилегии в Убунту (ядро Линукс!) - это как два
> пальца, в макоси посложнее, а вот в винде так и вообще придётся попотеть?

Просто в ином случае, нашедшему будет выгоднее продать дырку вместе со сплоитом кому-то другому.

Благо, окошечников много и всегда есть соблазн очередным уводильщиком паролей с танами и прочими номерками или же шифровальщиком или майнером <что-там-сейчас-модно-коинов> сорвать неплохой куш.

3.73, Аноним (-), 20:22, 18/03/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Это официальная позиция устроителей Pwn2Own 2017 или домыслы цензоред запиканного цензоред?

4.80, Аноним84701 (ok), 20:46, 18/03/2017 [^] [^^] [^^^] [ответить]	+2 +/–
Аглицким владеешь http zerodayinitiative com Pwn2Own2017Rules html Почитай,... большой текст свёрнут, показать

1.72, Аноним (-), 20:15, 18/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А почему дебиан не ломают? Никто денег не дает за взлом?

2.94, rico (ok), 23:55, 22/03/2017 [^] [^^] [^^^] [ответить]

+/–

Давайте спросим шире.

К чему этот дешевый пиар, ведь вместо ubuntu могли взять любой другой дистр и поломать его.

Фу такими быть.

1.87, Аноним (87), 15:41, 20/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
вопрос а как они запустили калькулятор с правами root до "взлома" ??? если calc запущен от обычного пользователя то по команде ps aux \| grep calc никогда не будет строки с типа root 2746 0.0 0.1 .... будут только строки с именем юзера, можете проверить

2.88, Andrey Mitrofanov (?), 16:42, 20/03/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> вопрос а как они запустили калькулятор с правами root до "взлома" ??? > если calc запущен от обычного пользователя то по команде > ps aux \| grep calc > никогда не будет строки с типа > root 2746 0.0 0.1 .... > будут только строки с именем юзера, можете проверить Может быть, подъём привилегий был в другом месте, а в качестве его payload-а как раз использовали system("calc") и уж его-то, запущенного таки "после", показали-продемонстрировали ps-ом, как #Успех?

2.92, Аноним (-), 12:35, 22/03/2017 [^] [^^] [^^^] [ответить]	+/–
calc -пример приложения под root-ом, зачем на стенде для нахождения уязвимости шифровать разделы?

1.89, Нониус (?), 09:48, 22/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Странно, почему их ещё не записали в "русские хакеры"?

2.91, Andrey Mitrofanov (?), 11:14, 22/03/2017 [^] [^^] [^^^] [ответить]

–1 +/–

> Странно, почему их ещё не записали в "русские хакеры"?

Так нет же категории "взлом выборов".

+++"Напьёшься - будешь."/кф Бриллиантовая рука

игнорирование участников | лог модерирования

Добавить комментарий

Текст: