Polak pokonał Firefoksa na Pwn2Own, grupa Vupen zgarnia większość nagród

W Vancouver zakończył się już pierwszy dzień turnieju Pwn2Own, podczas którego zawodnicy starają się wykorzystać luki między innymi w przeglądarkach internetowych i oprogramowaniu urządzeń mobilnych, aby przejąć kontrolę nad urządzeniem. Tradycyjnie, poza nagrodą pieniężną, hakerzy mogą zabrać ze sobą także urządzenia, na które udało im się włamać. Pula nagród w tym roku jest imponująca — do podziału jest ponad milion dolarów.

Mimo że w naszym kraju nie brakuje zdolnych i pomysłowych hakerów, raczej nie wybierali się oni na ten turniej. W tym roku po raz pierwszy, pod własnym nazwiskiem, wystartował w konkursie Polak. Mariusz Młyński, który ma już na koncie sporo odnalezionych i zgłoszonych błędów w Firefoksie na przykład luka umożliwiająca atak XSS w Firefoksie 16), zademonstrował swój atak na tę właśnie przeglądarkę na 64-bitowym systemie Windows 8.1. Wykorzystane zostały dwie luki, z czego jedna pozwala na podniesienie uprawnień, druga obejście zabezpieczeń przeglądarki. Jego exploit okazał się skuteczny i Mariusz wróci do kraju z nagrodą wysokości 50 tysięcy dolarów.

Drugi rok pod rząd imponującą pulę nagród zgarnął zespół Vupen Security, reprezentowany przez założyciela firmy, Chaouki Bekrara, we własnej osobie. Pozycja Vupen w konkursie jest szczególna, gdyż niedawno polityka firmy nie obejmowała ujawniania odnalezionych luk w taki sposób. Wcześniej do exploitów pisanych przez francuską firmę mieli dostęp jedynie klienci, i to nie byle jacy — na przykład rządy krajów należących do NATO. Bekrar zawsze twierdził, że to produkt jak każdy inny i amerykańskie firmy też na nich zarabiają, ale podkreślał, że Vupen nigdy nie robił interesów z państwami reżimowymi. Nic dziwnego, że firma się rozrasta i planuje otworzyć trzecie już biuro — tym razem w Londynie. Exploity prezentowane przez Vupen podczas Pwn2Own zostały przygotowane tylko na konkurs i nie trafią do klientów.

Zawodnikom z Vupen udało się skutecznie wykorzystać luki w Adobe Readerze, Internet Explorerze, Firefoksie oraz Flashu. Javie się „upiekło”, gdyż Vupen odwołał start w potyczce. Nie podejmą także próby zawładnięcia komputerem przez Safari, co planowali na dziś, ale czeka na nich jeszcze potyczka z Google Chrome.

Zero-day wykorzystany do ataku na IE 11 jest szczególnie ciekawy. Vupen znalazł i wykorzystał lukę typu use-after-free (alokacja pamięci do wskaźnika po tym, jak została ona przez program zwolniona), która, według Microsoftu, w IE11 na Windows 8.1 nie występuje. Do tego dołączony został atak typu object confusion (oszukanie programu, by myślał, że obiekt jest czymś innym, niż jest w rzeczywistości). Tą metodą udało się wyjść poza piaskownicę Internet Explorera 11 i przejąć kontrolę nad systemem Windows 8.1, zainstalowanym na Surface.

Podstawowym czynnikiem motywującym nas do przyjazdu na Pwn2Own jest chęć pokazania, że nawet najbezpieczniejsze przeglądarki i produkty mogą być złamane — powiedział w wywiadzie Bekrar.

Z nagrodą wróci do domu także Jüri Aedla, zazwyczaj zajmujący się Chromem, który tym razem skutecznie zaatakował Firefoksa. Polowania na jednorożca jednak nie będzie — jeszcze przed rozpoczęciem Pwn2Own złapał go Jared DeMott z Bromium Labs, zaś w zasadniczym konkursie nie ma ani jednego zgłoszenia w tej kategorii.