Эксперты взломали Edge, Safari и Ubuntu в первый день Pwn2Own

«Охотники за уязвимостями» снова собрались вместе с целью испытать свои силы на ежегодном соревновании хакеров Pwn2Own, проводимом организацией Zero Day Initiative. В первый же день им удалось успешно взломать Microsoft Edge, Apple Safari, Adobe Reader и десктопную версию Ubuntu.

В нынешнем году призовой фонд соревнований составляет $1 млн. Участники продемонстрируют свои навыки в пяти категориях: взлом виртуальных машин (VMware Workstation и Microsoft Hyper-V), взлом браузеров и плагинов (Microsoft Edge, Google Chrome, Mozilla Firefox, Apple Safari и Flash Player для Edge), повышение привилегий (Microsoft Windows, macOS и десктопная версия Ubuntu), взлом корпоративных приложений (Adobe Reader, Word, Excel и PowerPoint) и взлом серверов (Apache Web Server под управлением серверной версии Ubuntu).

В первый день соревнований двум командам удалось взломать Adobe Reader и с помощью еще нескольких уязвимостей в ядре Windows получить привилегии на уровне системы. Китайская команда 360 Security получила $50 тыс., а ее соотечественники из Tencent – $25 тыс.

Браузер Safari также был взломан дважды. Первой удачную атаку осуществила команда во главе с исследователями Сэмюэлом Гросом (Samuel Groß) и Никласом Баумстарком (Niklas Baumstark). Позже браузер был взломан китайской Chaitin Technology. В обоих случаях эксплуатировался ряд уязвимостей, позволивших выполнить код с правами суперпользователя на macOS. Команда Гроса и Баумстарка получила только $28 тыс., поскольку ее атака удалась лишь частично. Chaitin Technology завоевала $35 тыс.

Награду в $80 тыс. получила команда Tencent за взлом Microsoft Edge, который наряду с Google Chrome считается самым устойчивым к кибератакам благодаря механизму песочницы. Исследователи также попытались взломать Chrome, однако не уложились по времени.  

$15 тыс. принесла команде Chaitin атака повышения привилегий на уровне ядра на десктопной версии Ubuntu.

Сервер Apache пока не удалось взломать, однако соревнования еще продолжаются. Исследователи, которым удастся обойти виртуальную машину, получат $100 тыс. Взлом Ubuntu с эксплуатацией уязвимости в Apache принесет $200 тыс.