De Pwn2Own-wedstrijd van dit jaar eindigde na drie dagen van het hacken van browsers en besturingssystemen. Aan het einde, Microsoft's Edge-browser kwam naar voren als de verliezer nadat het tijdens het evenement niet was gelukt om aanvallen af te weren.
Een team van het Chinese beveiligingsbedrijf Qihoo 360 maakte misbruik van Edge en koppelde twee beveiligingsfouten aan elkaar om te ontsnappen aan een VMware Workstation-host. Het team ontving $ 105.000 als beloning voor het ontdekken van de kwetsbaarheden. Zero Day Initiative, dat de wedstrijd sponsorde, zei in een blogpost:
Onze dag begon met de mensen van 360 Security (@mj0011sec) die probeerden een volledige virtuele machine te ontsnappen via Microsoft Edge. Als primeur voor de Pwn2Own-competitie zijn ze er absoluut in geslaagd door gebruik te maken van een heap overflow in Microsoft Edge, een type verwarring in de Windows-kernel en een niet-geïnitialiseerde buffer in VMware Workstation voor een complete virtuele machine ontsnappen. Deze drie bugs leverden hen $ 105.000 en 27 Master of Pwn-punten op. Ze zullen niet precies zeggen hoe lang het onderzoek duurde, maar de codedemonstratie had slechts 90 seconden nodig.
De volgende was Richard Zhu (fluorescentie) gericht op Microsoft Edge met een escalatie op SYSTEEM-niveau. Hoewel zijn eerste poging mislukte, maakte zijn tweede poging gebruik van twee afzonderlijke use-after-free (UAF)-bugs in Microsoft Edge en escaleerde vervolgens naar SYSTEM met behulp van een bufferoverloop in de Windows-kernel. Dit leverde hem $ 55.000 en 14 punten op voor Master of Pwn.
Tencent Security kreeg ook $ 100.000 voor de tweede VMware Workstation-ontsnapping. ZDI legde uit:
Het laatste evenement voor zowel de dag als de wedstrijd had Tencent Security - Team Sniper (Keen Lab en pc Mgr) gericht op VMWare Workstation (Guest-to-Host), en het evenement eindigde zeker niet met een janken. Ze gebruikten een keten van drie bugs om de categorie Virtual Machine Escapes (Guest-to-Host) te winnen met een VMWare Workstation-exploit. Dit betrof een Windows-kernel UAF, een Workstation-infoleak en een niet-geïnitialiseerde buffer in Workstation om guest-to-host te gaan. Deze categorie dreef de moeilijkheid nog verder op omdat VMware Tools niet in de guest waren geïnstalleerd.
Hoewel de Pwn2Own-wedstrijd een eerlijke methode mist om elke browser in gelijke mate aan te vallen, heeft Microsoft duidelijk nog een lange weg te gaan om de beveiliging van Edge te verbeteren.
VERWANTE VERHALEN DIE JE MOET BEKIJKEN:
- Beveiligingswaarschuwingen van Microsoft Edge kwetsbaar voor oplichting door technische ondersteuning
- Firefox en Chrome kunnen de Microsoft Edge-beveiligingsnormen niet evenaren
- Microsoft beweert dat Edge tot nu toe de veiligste browser is zonder zero-day exploits
