85 ezer dollárt ért egy ismeretlen Chrome-hiba
A négy nagy böngésző mellett a Windowsban és az Adobe Flash és Reader szoftvereiben is nyilvánosan eddig ismeretlen sérülékenységeket tártak fel a CanSecWest biztonsági konferencia társrendezvényén, a Pwn2Own szoftverbiztonsági megmérettetésen részt vevő szakemberek. Egyikük a Chrome, az Internet Explorer 11 és a Safari védelmén is átjutott, munkájával összesen 225 ezer dollárt kaszált.
Komoly “terméssel” zárult az idei CanSecWest biztonsági konferencia hagyományos szoftverbiztonsági megmérettetése, a Pwn2Own. A résztvevők a két nap során összesen 21, eddig nyilvánosan nem ismertetett sérülékenységet kihasználva jutottak át a Chrome, Internet Explorer 11, Safari, Firefox, Adobe Flash és Reader valamint a Windows védelmén, és értek el távoli – különböző jogosultsági szintű – kódfuttatási lehetőséget a kompromittált gépeken. Egy dél-koreai szakember igazán eredményesnek bizonyult, a négy nagy böngészőből három pajzsán is talált rést, ráadásul a Chrome esetében a stabil és a béta kiadásokban egyaránt.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A szakmai körökben lokihardt nicknéven ismert Jung Hoon Lee a Google böngészőjének feltöréséhez egy Chrome-ban felfedezett és két, Windows kernel meghajtóban megtalált hibát használt ki. Előbbi egy puffertúlcsordulásos, az utóbbi kettő pedig információszivárgásos és versenyhelyzeti (amikor egy adott művelet kimenete a végrehajtási sorrendtől függ) sérülékenység – Lee ezek együttes kiaknázásával SYSTEM jogosultsági szintű hozzáférést, azaz teljhatalmat ért el az adott rendszeren. Jutalma 110 ezer dollár volt: 75 ezret kapott a Chrome-hibáért, 25 ezret a jogosultságemelés sikeres végrehajtásáért és 10 ezret a bétás Chrome feltöréséért. A tényleges bemutató a szervezők szerint mintegy két percig tartott, Lee tehát kicsivel több mint 900 dollárt keresett annak minden másodpercében.
A dél-koreai biztonsági szakértő azonban nem állt meg ennyinél. Egy UAF (use-after-free) típusú memóriakezelési hiba kihasználásával átjutott a Safari homokozóján (sandbox) és távoli kódfuttatásra szerzett magának lehetőséget – ezért a demonstrációért 50 ezer dollárt kapott. Lee végül az Internet Explorer 11-ben felfedezett TOCTOU (time-of-check to time-of-use, ellenőrzéstől a használatig) sérülékenység kihasználásával írási jogosultságot szerzett, majd egy egyedi JavaScript segítségével kijutott a böngésző homokozójából és így a bejelentkezett felhasználóéval megegyező kódfuttatási jogosultságra tett szert. Ez a bemutató 65 ezer dollárt ért, így Jung Hoon Lee-nek szakértelme összesen 225 ezer dollárt hozott a két nap alatt – ez a Pwn2Own történetében a legmagasabb, egyéni indulónak kifizetett jutalom.
Pwn2Own 2015: Day 2 Highlights
Még több videóAz ilxu1a név alatt futó hacker a Mozilla Firefox védelmén jutott át és szerzett a bejelentkezett felhasználóéval megegyező távoli kódfuttatási jogosultságot – a szervezők beszámolója szerint a bemutató gyakorlati (a példakód végrehatjására szolgáló) része egy másodpercig sem tartott. A hiba megtalálásáért és kihasználásáért 15 ezer dollár jutalmat kapott. Ennél súlyosabb Firefox-sérülékenységet mutatott be Mariusz Mlynski, akinek a támadás során SYSTEM szintű jogosultságemelést is sikerült elérnie – mindezt összesen 55 ezer dollárért.
Az Adobe Flash és Reader eddig nem publikált hibáit főleg csapatok demonstrálták, bár a sikerhez szükségük volt windowsos (például a TrueType betűtípusok kezelésében talált) sérülékenységekre is. A SYSTEM jogosultsági szint elérésével végződő bemutatókért a fenti esetekhez hasonlóan nagyon komoly, több tízezer dolláros pénzdíjat kaptak.
A Pwn2Own két napja alatt összesen 21 komoly, nyilvánosan eddig nem ismertetett sérülékenységet hoztak nyilvánosságra és mutatták be azok kiaknázását. Öt hiba a Windowst, négy az Internet Explorer 11-et, 3-3 a Firefoxot, Adobe Readert és Flash-t, kettő a Safarit, végezetül pedig egy a Chrome-ot érinti. A szervezők természetesen már mindegyik érintett vállalatnak átadták a szükséges információkat, a javítások megjelenéséig pedig sem ők, sem a verseny résztvevői nem fognak konkrét részleteket közölni a hibákról.