Den årlige hackerkonkurransen Pwn2Own ble denne uken arrangert under sikkerhetskonferansen CanSecWest i Vancouver, Canada. Konkurransen handler om å omgå sikkerheten i en del mye brukt programvare, blant annet nettlesere.
I løpet av konkurransen, som arrangeres av HP Security Research og sponses av Google Project Zero, ble det avslørt og utnyttet i alt fem sårbarheter i ulike deler av Windows, fire sårbarheter i Internet Explorer 11, tre sårbarheter i både Firefox, Adobe Reader og Flash Player, to sårbarheter i Safari og én sårbarhet i Chrome.
Én deltaker - tre nettlesere
Det var spesielt én deltaker som utmerket seg. Under dag to av konkurransen gikk koreanske JungHoon Lee først i gang med å knekke 64-bits-utgaven av Internet Explorer 11. Han utnyttet først en TOCTOU-sårbarhet (time-of-check to time-of-use) for å få lese- og skriveprivilegier, omgikk alle forsvarsmekanismene ved å unnslippe sandkassen gjennom en priviligert JavaScript-injeksjon, før han til slutt kunne kjøre vilkårlig kode – antagelig den vanlige kalkulatoren i Windows. Premien for dette var på 65 000 dollar.
Deretter gikk JungHoon Lee i gang med Google Chrome. Han utnyttet først en buffer-overflytsfeil-«race condition» i Chrome, deretter en «info leak and race condition» i to Windows kernel-drivere for å få SYSTEM-tilgang. Chrome-sårbarheten ble i utgangspunktet belønnet med 75 000 dollar, men fordi sårbarheten også berører betaversjonen av Chrome, så ble belønningen økt med 10 000 dollar. Dessuten fikk han 25 000 dollar for privilegie-eskaleringen i Windows. Til sammen 110 000 dollar. Greit sekundinntekt med andre ord. For demonstrasjonen varte i omtrent to minutter.
Men JungHoon Lee var ikke ferdig. Han greide også å utnytte en use-after-free-sårbarhet i en ikke-initialisert stakk-peker i Apple Safari slik at han kunne omgå sandkassen og kjøre koden. Premien var ytterligere 50 000 dollar. HP skriver i en oppsummering at dette ville ha vært en fantastisk prestasjon for alle, men at den er spesielt imponerende fordi JungHoon Lee fordi han deltok alene istedenfor å være en del av en gruppe.
Sårbarhetene som blir brukt i Pwn2Own-konkurransen blir ikke offentliggjort før leverandørene av de sårbare produktene har utgitt sikkerhetsoppdateriner som fjerner dem.
