Первый день соревнований Pwn2Own, проводимых ежегодно в рамках конференции CanSecWes, оказался как никогда плодотворен - были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Chrome, Firefox, IE 10, Windows 8 и Java. Во всех случаях атака была совершена при обработке в браузере специально оформленной web-страницы, открытие которой завершилось получением полного контроля над системой. При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем Windows 7, 8 и Mac OS X Mountain Lion со всеми доступными обновлениями в конфигурации по умолчанию.

В соответствии с условиями конкурса, детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только после выпуска производителями обновлений с устранением указанных уязвимостей. Отчасти успех Pwn2Own в этом году связан с существенным увеличением суммы вознаграждения. Например, за демонстрацию взлома браузера Chrome будет выплачено вознаграждение в 100 тысяч долларов, за взлом IE - 75 тысяч долларов, за взлом Firefox - 60 тысяч долларов, за взлом Safari - 65 тысяч долларов, за взлом IE через плагин Adobe Reader XI - 70 тысяч долларов, за взлом плагинов Adobe Flash и Java по 20 тысяч долларов. Одновременно будет проведено смежное соревнование Pwnium, на котором будет предложено взломать Chrome OS на устройстве Samsung Series 5 550 Chromebook. Общий призовой фонд Pwnium составит 3.14159 млн долларов, а сумма максимального вознаграждения - 150 тысяч долларов.

Что касается техники уже продемонстрированных взломов, то для Firefox 19 была эксплуатирована новая уязвимость, связанная с обращением к уже освобождённой области памяти (use-after-free), в сочетании с новой техникой обхода всех дополнительных механизмов защиты операционной системы Windows 7, таких как DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization). Взлом Windows 8 был продемонстрирован на планшете Surface Pro через эксплуатацию двух 0-day уязвимостей в Internet Explorer 10 и новую технику выхода за пределы sandbox. Атаки были продемонстрированы сотрудниками компании Vupen Security. Плагин Java был успешно атакован тремя разными участниками конкурса, представляющими компании Accuvant Labs, Contextis и Vupen, через эксплуатацию уязвимости, приводившей к возможности переполнения кучи.

Взлом Chrome продемонстрировали Nils и Jon Butler, исследователи из компании MWRLabs. Для проведения атаки на Chrome был подготовлен многоуровневый рабочий эксплоит, использующий 0-day уязвимости в ОС для обхода ограничений sandbox в сочетании с уязвимостью в процессе рендеринга браузера. Обход sandbox был организован через эксплуатацию уязвимости в ядре, позволяющую выполнить код вне изолированного окружения с системными привилегиями Windows. Для обхода ALSR использовалась утечка некоторых адресов в памяти, по которым был вычислен базовый адрес системной DLL. Для обхода DEP из DLL было прочитано и преобразовано в строку JavaScript содержимое сегмента .text, на основе которого были рассчитаны адреса для ROP (Return-Oriented Programming).

По словам участвовавших в конкурсе исследователей из компании Vupen, из-за задействования дополнительных механизмов защиты, разработка эксплоитов стала занимать заметно больше времени, например, если для прошлых конкурсов, эксплоит удавалось написать за неделю, то сейчас на поиск уязвимости и написание эксплоита было потрачено несколько месяцев. Отдельно отмечаются положительные сдвиги компании Adobe в плане укрепления безопасности Flash-плагина и оперативности выпуска обновлений: если раньше эксплуатация уязвимостей во Flash являлась основным источником распространения вредоносного ПО, то теперь лавры перешли к плагину Java.

Написать эксплоит для Flash, с учётом внедрения sandbox-изоляции, стало значительно труднее и дороже, чем эксплоит для плагина Java, в котором для атаки достаточно найти уязвимость без необходимости разработки методов обхода sandbox. Изменить ситуацию компания Oracle может, только кардинально переработав архитектуру безопасности Java, без этого 0-day эксплоиты будут появляться всё чаще и чаще. Наиболее трудным для совершения атаки называется браузер Chrome, преодоление многоуровневой системы безопасности которого сулит массу трудностей, а разработчики не только устраняют существующие уязвимости, но и развивают методы для предотвращения техник атак и блокирования обхода sandbox. Слабой стороной Chrome называется Webkit.

На первом дне конкурса не был взломан браузер Safari в окружении Mac OS X, предположительно участники конкурса приберегли рабочие методы атаки для следующего дня, на котором за взлом Safari в iOS назначено существенно более высокое вознаграждение.

Дополнение: на втором дне соревнования Pwn2Own были успешно продемонстрированы новые методы атаки на браузерные плагины Java, Flash и Adobe Reader.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36328