На состязании Pwn2Own были успешно взломаны Chrome, Firefox, IE 10 и Java

Первый день соревнований Pwn2Own, проводимых ежегодно в рамках конференции CanSecWes, оказался как никогда плодотворен - были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Chrome, Firefox, IE 10, Windows 8 и Java. Во всех случаях атака была совершена при обработке в браузере специально оформленной web-страницы, открытие которой завершилось получением полного контроля над системой. При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем Windows 7, 8 и Mac OS X Mountain Lion со всеми доступными обновлениями в конфигурации по умолчанию.

В соответствии с условиями конкурса, детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только после выпуска производителями обновлений с устранением указанных уязвимостей. Отчасти успех Pwn2Own в этом году связан с существенным увеличением суммы вознаграждения. Например, за демонстрацию взлома браузера Chrome будет выплачено вознаграждение в 100 тысяч долларов, за взлом IE - 75 тысяч долларов, за взлом Firefox - 60 тысяч долларов, за взлом Safari - 65 тысяч долларов, за взлом IE через плагин Adobe Reader XI - 70 тысяч долларов, за взлом плагинов Adobe Flash и Java по 20 тысяч долларов. Одновременно будет проведено смежное соревнование Pwnium, на котором будет предложено взломать Chrome OS на устройстве Samsung Series 5 550 Chromebook. Общий призовой фонд Pwnium составит 3.14159 млн долларов, а сумма максимального вознаграждения - 150 тысяч долларов.

Что касается техники уже продемонстрированных взломов, то для Firefox 19 была эксплуатирована новая уязвимость, связанная с обращением к уже освобождённой области памяти (use-after-free), в сочетании с новой техникой обхода всех дополнительных механизмов защиты операционной системы Windows 7, таких как DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization). Взлом Windows 8 был продемонстрирован на планшете Surface Pro через эксплуатацию двух 0-day уязвимостей в Internet Explorer 10 и новую технику выхода за пределы sandbox. Атаки были продемонстрированы сотрудниками компании Vupen Security. Плагин Java был успешно атакован тремя разными участниками конкурса, представляющими компании Accuvant Labs, Contextis и Vupen, через эксплуатацию уязвимости, приводившей к возможности переполнения кучи.

Взлом Chrome продемонстрировали Nils и Jon Butler, исследователи из компании MWRLabs. Для проведения атаки на Chrome был подготовлен многоуровневый рабочий эксплоит, использующий 0-day уязвимости в ОС для обхода ограничений sandbox в сочетании с уязвимостью в процессе рендеринга браузера. Обход sandbox был организован через эксплуатацию уязвимости в ядре, позволяющую выполнить код вне изолированного окружения с системными привилегиями Windows. Для обхода ALSR использовалась утечка некоторых адресов в памяти, по которым был вычислен базовый адрес системной DLL. Для обхода DEP из DLL было прочитано и преобразовано в строку "ДжаваСкрипт" содержимое сегмента .text, на основе которого были рассчитаны адреса для ROP (Return-Oriented Programming).




По словам участвовавших в конкурсе исследователей из компании Vupen, из-за задействования дополнительных механизмов защиты, разработка эксплоитов стала занимать заметно больше времени, например, если для прошлых конкурсов, эксплоит удавалось написать за неделю, то сейчас на поиск уязвимости и написание эксплоита было потрачено несколько месяцев. Отдельно отмечаются положительные сдвиги компании Adobe в плане укрепления безопасности Flash-плагина и оперативности выпуска обновлений: если раньше эксплуатация уязвимостей во Flash являлась основным источником распространения вредоносного ПО, то теперь лавры перешли к плагину Java.

Написать эксплоит для Flash, с учётом внедрения sandbox-изоляции, стало значительно труднее и дороже, чем эксплоит для плагина Java, в котором для атаки достаточно найти уязвимость без необходимости разработки методов обхода sandbox. Изменить ситуацию компания Oracle может, только кардинально переработав архитектуру безопасности Java, без этого 0-day эксплоиты будут появляться всё чаще и чаще. Наиболее трудным для совершения атаки называется браузер Chrome, преодоление многоуровневой системы безопасности которого сулит массу трудностей, а разработчики не только устраняют существующие уязвимости, но и развивают методы для предотвращения техник атак и блокирования обхода sandbox. Слабой стороной Chrome называется Webkit.

На первом дне конкурса не был взломан браузер Safari в окружении Mac OS X, предположительно участники конкурса приберегли рабочие методы атаки для следующего дня, на котором за взлом Safari в iOS назначено существенно более высокое вознаграждение.

Дополнение:

Проект Mozilla и компания Google оперативно выпустили обновления браузеров Firefox 19.0.2 и Chrome 25.0.1364.160, в которых устранены уязвимости, продемонстрированные вчера на конкурсе Pwn2Own.

В Firefox исправлена уязвимость, приводящая к использованию уже освобождённой области памяти (use-after-free) в коде HTML-редактора, проявляющаяся при вызове из скрипта функции document.execCommand() при выполнении операций во встроенном редакторе. В Chrome устранена уязвимость в коде движка WebKit, связанная с подменой типов используемых значений. Обе уязвимости были использованы в процессе осуществления атак по организации выполнения кода в системе (для выхода за пределы sandbox в Chrome использовалась уязвимость в ядре Windows).

Дополнительно можно отметить, что на втором дне соревнования Pwn2Own были успешно осуществлены все три заявленных на этот день попытки: новые методы атаки были продемонстрированы для браузерных плагинов Java, Flash и Adobe Reader.

Ни слова про Opera. Западло писать эксплоиты под малопопулярный браузер со своим движком? />