Én deltaker knekket sikkerheten i både Internet Explorer, Chrome og Safari i årets Pwn2Own-konkurranse. Også Firefox ble knekket, men det var det en annen deltaker som gjorde. (Foto: digi.no)

Pwn2Own

Knekte tre nettlesere på én dag

Deltaker imponerte stort under årets Pwn2Own-konkurranse.

Den årlige hackerkonkurransen Pwn2Own ble denne uken arrangert under sikkerhetskonferansen CanSecWest i Vancouver, Canada. Konkurransen handler om å omgå sikkerheten i en del mye brukt programvare, blant annet nettlesere.

I løpet av konkurransen,  som arrangeres av HP Security Research og sponses av Google Project Zero, ble det avslørt og utnyttet i alt fem sårbarheter i ulike deler av Windows, fire sårbarheter i Internet Explorer 11, tre sårbarheter i både Firefox, Adobe Reader og Flash Player, to sårbarheter i Safari og én sårbarhet i Chrome.

Én deltaker - tre nettlesere

Det var spesielt én deltaker som utmerket seg. Under dag to av konkurransen gikk koreanske JungHoon Lee først i gang med å knekke 64-bits-utgaven av Internet Explorer 11. Han utnyttet først en TOCTOU-sårbarhet (time-of-check to time-of-use) for å få lese- og skriveprivilegier, omgikk alle forsvarsmekanismene ved å unnslippe sandkassen gjennom en priviligert JavaScript-injeksjon, før han til slutt kunne kjøre vilkårlig kode – antagelig den vanlige kalkulatoren i Windows. Premien for dette var på 65 000 dollar.

Deretter gikk JungHoon Lee i gang med Google Chrome. Han utnyttet først en buffer-overflytsfeil-«race condition» i Chrome, deretter en «info leak and race condition» i to Windows kernel-drivere for å få SYSTEM-tilgang. Chrome-sårbarheten ble i utgangspunktet belønnet med 75 000 dollar, men fordi sårbarheten også berører betaversjonen av Chrome, så ble belønningen økt med 10 000 dollar. Dessuten fikk han 25 000 dollar for privilegie-eskaleringen i Windows. Til sammen 110 000 dollar. Greit sekundinntekt med andre ord. For demonstrasjonen varte i omtrent to minutter.

Men JungHoon Lee var ikke ferdig. Han greide også å utnytte en use-after-free-sårbarhet i en ikke-initialisert stakk-peker i Apple Safari slik at han kunne omgå sandkassen og kjøre koden. Premien var ytterligere 50 000 dollar. HP skriver i en oppsummering at dette ville ha vært en fantastisk prestasjon for alle, men at den er spesielt imponerende fordi JungHoon Lee fordi han deltok alene istedenfor å være en del av en gruppe.

Sårbarhetene som blir brukt i Pwn2Own-konkurransen blir ikke offentliggjort før leverandørene av de sårbare produktene har utgitt sikkerhetsoppdateriner som fjerner dem.

Til toppen