Конкурс хакеров Pwn2Own в этом году станет 10-летним и первым будет полностью проводиться компанией Trend Micro. В нем будет больше целей и больше призов для исследователей безопасности, успешно выполняющих эксплойты нулевого дня.
Как сообщалось в марте прошлого года в Pwn2Own 2016, прошлогодний конкурс результатов проводился под совместной эгидой Hewlett Packard Enterprise и Trend Micro после приобретения Trend Micro подразделения HPE Tipping Point. К концу двухдневного мероприятия, которое проводится ежегодно в связи с конференцией CanSecWest, исследователи успешно использовали в общей сложности 21 ошибку и выплатили вознаграждение в размере 460 000 долларов США участвующим командам и отдельным лицам.
Комментируя 10-летие конкурса. Брайан Горенк, который работает в ZDI с 2012 года и перешел из HPE в Trend Micro, где он теперь является старшим менеджером по исследованию уязвимостей и отвечает за организацию и рассмотрение Pwn2Own, написал в блоге:
Первый Pwn2Own произошел до Conficker или Stuxnet. Это произошло до роста атак национальных государств. Это произошло до того, как взорвались программы-вымогатели. Это произошло до бума облачных вычислений. Это произошло до биткойна. Это произошло до того, как кто-либо услышал об Интернете вещей.
Другими словами, с 2007 года многое изменилось, в том числе и Pwn2Own. В тот первый год были розданы ноутбук и 10 000 долларов *. В прошлом году было присуждено более 450 000 долларов наличными и призами по нескольким категориям. В 2007 году для использования QuickTime потребовалась единственная ошибка. В прошлом году для достижения компромисса и полного выигрыша в категории потребовалась цепочка ошибок.
В этом году в конкурсе, который пройдет в Ванкувере 15-17 марта, будут доступны призы до 1000000 долларов США, и в линейку будут внесены некоторые интересные дополнения, при этом Linux впервые будет включен в качестве цели для эскалации ошибок привилегий, которые теперь имеют выделенная категория. Участники, успешно воспользовавшиеся уязвимостью ядра для повышения привилегий, получат 30 000 долларов за Microsoft Windows 10, 20 000 долларов за macOS и 15 000 долларов за Ubuntu Desktop.
В прошлом году была добавлена категория для экранирования виртуальных машин, и она расширяется до Microsoft Hyper-V, а также VMWare. Успешный эксплойт в любом из продуктов принесет выигрыш в 100 000 долларов.
Одной из новых категорий конкурса этого года является «Серверная часть», в которой успешный эксплойт против Apache Web Server на сервере Ubuntu, запущенный с ноутбуков участников конкурса в сети конкурса, принесет исследователю 200 000 долларов. Брайан Горенц комментирует:
Учитывая, что эта настройка составляет примерно половину всех веб-сайтов, совершенно очевидно, какое влияние здесь может оказать ошибка.
В категории корпоративных приложений теперь представлены эксплойты против Adobe Reader и Microsoft Office (Word, Excel и PowerPoint) стоимостью 50 000 долларов. По словам Горенца:
Эти типы эксплойтов довольно часто встречаются в дикой природе, поэтому отключение некоторых действительно может помочь улучшить состояние безопасности для многих людей.
Firefox, который был исключен из прошлогоднего конкурса, вернулся, хотя и с более низкой выплатой, 30 000 долларов, чем более безопасные браузеры. Edge и Chrome стоят 80 000 долларов с Safari, а Adobe Flash в Edge — 50 000 долларов. Участники в категории «Веб-браузер и Pugins» могут заработать дополнительно 30 000 долларов США, если их участие обеспечивает выполнение кода на уровне СИСТЕМЫ для целей на базе Windows, или дополнительные 20 000 долларов США, если их участие обеспечивает выполнение кода корневого уровня для целей на основе MacOS.
Gorenc советует:
Хотите действительно крупную выплату? Целевые объекты на базе Windows будут выполняться на виртуальной машине VMware Workstation. Если участник ускользнет от виртуальной машины VMware Workstation и выполнит код в операционной системе хоста, участник получит дополнительно 100 000 долларов.
Это тоже накопительные бонусы. Например, если участник использует Google Chrome или Microsoft Edge, поднимается до уровня System, а затем выполняет побег с VMware, он за один присест получит аккуратные 210 000 долларов (и 27 очков Master of Pwn!). Мы, конечно, надеемся, что кто-то завершит какую-то цепочку в этом направлении.
Премия Master of Pwn, учрежденная в прошлом году для исследователя, показавшего наилучшие общие результаты, вернулась в этом году. Он использует следующую систему баллов, где количество баллов отражает сложность эксплойта:
Участник, набравший наибольшее количество баллов, получит титул «Master of Pwn» и 65 000 наградных баллов ZDI (примерно 25 000 долларов США) и, вероятно, сможет похвастаться смокингом, подобным тому, который в прошлом году выиграла команда Tencent Security. Снайпер.
Для участия в Pwn2Own требуется предварительная регистрация до 12 марта в 17:00 по тихоокеанскому времени. Потенциальным участникам рекомендуется внимательно прочитать правила конкурса перед регистрацией.