pwn2own

За первый день Pwn2Own взломали Safari, VMware и Virtual Box

В первых день соревнований по этичному хакингу PWN2Own, которое проходит в Ванкувере (Канада), участником удалось сразу несколько очень известных и защищенных программ. Пентестам поддался браузер от Apple (Safari),  Oracle VirtualBox и VMware workstation.

Общая сумма призового фонда PWN2Own в 2019 году составляет 1 миллион долларов США. Впервые в истории конкурса участникам было предложено взломать Tesla model 3. При удачной попытке проникновение победитель получит 300 000$.

pwn2own

Первый же день соревнований ознаменовался тем, что взлому поддались целых 3 популярных продукта, которыми стали: браузер Safari, VirtualBox и VMware. При этом, хакером уже удалось заработать 240 000$ за один лишь первый день конкурса. Амат Кама и Ричард Зу из команды Fluoroacetate заработали $55 000 за найденную уязвимость в Safari. Суть атаки состояла в переполнении буфера обмена браузера, с помощью чего происходил обход встроенной «песочницы». Для побега из песочницы был использован брутфорс, что весьма оригинально. Этим же участникам удалось со второй попытки взломать VirtualBox

Такой же успех обхода защиты VirtualBox продемонстрировали новички Pwn2Own из команды Star Labs, которые также использовали целочисленное переполнение в целях повышения статуса привилегий и выполнения произвольного кода на пораженном устройстве. За взлом Virtual Box он получили 35 000$.

Последним событием для стало то, что phoenhex & qwerty заработали $45 000 за эксплойт для Safari с возможностью повысить привилегии до уровня ядра. Правда компания Apple была уже в курсе данной уязвимости, как выяснилось немного позднее.

Видеообзор первого дня Pwn2Own 2019