Den årlige hackerkonkurransen Pwn2Own startet i går under sikkerhetskonferansen CanSecWest i Vancouver, Canada. I årets konkurransen er det knekking av enten nettlesere eller nettleser-plugins som gjelder.
Allerede den første dagen ble både Chrome, Firefox, Internet Explorer og Java knekket. Windows 7 eller 8 var tilsynelatende operativsystemene som samtlige valgte, selv om OS X Mountain Lion også kan velges.
Hele tre deltakere eller grupper greide å utnytte sårbarheter i og rundt Java. Siden det florerer av sårbarheter i Java for tiden, er dette kanskje ikke den mest krevende grenen.
One presumes that using a Java exploit at #Pwn2Own is like doping in cycling. Or riding a motorbike for the TdF. Mike Shaver, Mozilla.
Så var da premien for Java-knekking bare 20 000 dollar, sammenlignet med 100 000 dollar for knekking av Chrome eller IE10.
De tre som knekket Java var James Forshaw, Joshua Drake og selskapet VUPEN Security. Sistnevnte skriver at dette ble oppnådd ved å utnytte en heap-overflytsfeil til å omgå ASLR (Address Space Layout Randomization).
Hackerne John og Nils fra MWRlabs greide å knekke Chrome ved å omgå nettleserens sikkerhetssandkasse. En beskrivelse av hvordan dette ble gjort, finnes her. Google hadde rett i forkant av konkurransen fjernet ti sårbarheter fra nettleseren, men tydeligvis ikke den som ble utnyttet her.
Også Firefox ble knekket av VUPEN. Her ble det utnyttet en «Use after free»-sårbarhet og en ny teknikk for å omgå ASLR/DEP (Data Execution Prevention) i Windows 7.
VUPEN var aktive i går og sto også for knekkingen av Internet Explorer 10. Dette ble gjort på en Surface Pro-maskin med Windows 8. Ifølge VUPEN utnyttet de to nulldagssårbarheter i IE10 til å oppnå full kompromittering av Windows 8 med omgåelse av sikkerhetssandkassen.
Mens Google de to siste årene har boikottet Pwn2Own på grunn av uenighet med arrangøren, DVLabs Zero Day Initiative, om utlevering av sårbarhetsdetaljene, så er selskapet i år sponsor av Pwn2Own sammen med HP. I år vil de berørte programvareleverandørene få utlevert detaljene om sårbarhetene den 12. mars.
Dette betyr likevel ikke at Google dropper å arrangere selskapets egen Pwnium-konkurranse parallelt med Pwn2Own.
I Pwnium-konkurransen, som går av stabelen senere i dag, er det Chrome OS som deltakerne skal forsøke å knekke. Premiepotten er på π (3,14159) millioner dollar og premien per kompromittering er på inntil 150 000 dollar.
Senere i dag skal det gjøres tre nye kompromitteringsforsøk i Pwn2Own-konkurransen, mot henholdsvis Adobe Flash Player og Reader, samt et nytt forsøk mot Internet Explorer 10.
Les også:
- [25.07.2014] IE-hull holdt hemmelig i tre år
- [14.03.2014] Ingen nettlesere besto testen
- [10.04.2013] Fjernet ikke kjent IE-sårbarhet
- [08.03.2013] Chrome OS lot seg ikke knekke
- [08.03.2013] Java knekket nok en gang
- [08.03.2013] Pwn2Own-sårbarheter allerede fjernet
- [29.01.2013] Chrome-hack gir nerdedusør
- [25.09.2012] iPhone 4S og Galaxy S III knekket
- [12.03.2012] Hackere gikk i Chrome-felle
- [08.03.2012] Chrome hacket på fem minutter