Pwn2Own 2016:Китайские хакеры взломали Google Chrome за 11 минут.

23 Мар. 2016 г.360TS

Pwn2Own 2016:Китайские хакеры взломали Google Chrome за 11 минут.

Состоялся ежегодный конкурс хакеров Pwn2Own 2016 в Ванкувере. Общий призовой фонд конкурса оценивается в 1 млн $. Размер вознаграждения напрямую зависел от типа обнаруженной ошибки: 60 тыс. $ — за захват Сhrome/Win7 – аккаунта пользователя, работая при этом с ошибками только в самом Chrome, 40 тыс. $ — работая с ошибками не только в Chrome,но и в других браузерах, и, наконец, 20 тыс. $ — используя ошибки любых браузеров, кроме Chrome.

В конкурсе Pwn2Own 2016 самым большим событием первого дня стало то, что хакеры из команды 360Vulcan Team смогли скомпрометировать Flash и заработали самую большую сумму за первый день — $80 тыс.
Группа воспользовалась багом некорректного определения типов объектов в популярной платформе. В сочетании с уязвимостью ядра Windows этот баг привел к повышению привилегий с user до SYSTEM. Члены команды 360Vulcan Team, успев взломать Flash, частично взломали Google Chrome. Группа использовала баг доступа к несуществующим данным, о котором было известно Google, а также три уязвимости использования высвобожденной памяти, но баги не сработали вместе. Эту попытку судьи засчитали как «частично успешную», что позволило команде получить $52,5 тыс., увеличив выигрыш первого дня до $132,5 тыс. Это первый год, когда на Pwn2Own участники имеют возможность взломать виртуальную систему Workstation от VMware, установленную на Windows-компьютерах. При успешном результате счастливчики могут получить $75 тыс., но в ходе первого дня никто так и не рискнул это сделать, и многие также не рассматривают эту цель и на второй день состязания. Участники команды 360Vulcan Team попытаются взять Workstation штурмом на второй день, а взлом Safari, Chrome, Flash, а также Microsoft Edge, оставили на потом.

В конкурсе в 2015 году, команда 360Vulcan успешно обошла защиту IE11 за 17 секунд, и стала первой азиатской командой в истории конкурса. В течение двух лет, команда 360 Vulcan выбирает самые сложные категорий соревнований, демонстрируя замечательный опыт в области безопасности.
Ребята из команды 360Vulcan также занимаются исследованием безопасности продуктов для компании 360 Internet Security Innovation Center, фокусируются на уязвимости в системе безопасности предприятия и помогают разработчикам исправить уязвимости в программе. Продукты «XP Shield» и «IE Щит» были доработаны с помощью поддержки 360Vulcan.
В 2015 году команды безопасности в Qihoo 360 получили более 100 официальных подтверждений от Google, Microsoft, Apple и Adobe об уязвимостях, уступая только команде Google Project Zero, который выиграл славу «наиболее способных Команды по безопасности на Востоке». Если продать информацию об этих уязвимостях на черном рынке, можно заработать миллионы долларов. Тем не менее, команда предпочитает сообщать об уязвимостях разработчикам.
В рамках конкурса пристальное внимание привлекла работа команды 360 Vulcan Team. Участники выявили уязвимые места в браузере Google Chrome, а также смогли взломать плагин от Adobe, с помощью чего повысили уровень привилегий в системе Windows. За это команда получила 80 тысяч долларов.