На взломе Safari хакеры смогли заработать более 120 тысяч долларов

16 Март 2018

Традиционно в марте проводится масштабное соревнование Pwn2Own 2018, в котором принимают самые продвинутые хакеры со всего мира. Мероприятие проводится ежегодно, начиная с 2007 года. В этом году призовой фонд соревнования был самым высоким за всю историю проведения Pwn2Own 2018. Общая сумма денежных вознаграждений составила 2 млн долларов, часть из которых уже забрали себе те, кто смог обнаружить опасные уязвимости в популярных браузерах.

Всего за 2 дня соревнования специалистам по кибербезопасности удалось в общей сложности заработать порядка 267 тысяч долларов. Денежные призы выплачивались за обнаружение уязвимостей в браузерах Microsoft Edge. Safari и Mozilla Firefox, а также в программном продукте виртуализации Oracle VirtualBox.

Больше всего, пожалуй, удалось заработать известному исследователю Ричарду Чжу, который более известен в Сети под псевдонимом fluorescence. В первый же день он начал свое участие в соревновании с попыток взлома браузера Safari, но все они провалились. Поэтому он решил сосредоточиться на других веб-обозревателях. И не ошибся с выбором. Чжу прибег к использованию целой цепочки эксплоитов, с помощью которых ему удалось совершить успешную атаку на браузер Microsoft Edge. Проделанная работа принесла свое вознаграждение. Хакеры выплатили 70 тысяч долларов.

В первый день веб-обозреватель Safari все же поддался, но другому исследователю. «Яблочный» браузер удалось взломать Самуэлю Гросу, который прячется за псевдонимом saelo. Проведение успешной атаки принесло ему вознаграждение в размере 65 тысяч долларов.

В программном обеспечении VirtualBox были обнаружены не настолько критические уязвимости, поэтому и денежное вознаграждение оказалось значительно ниже. Успешный взлом осуществил Никлас Баумстарк, который работал в команде Phoenhex. Ему удалось пополнить копилку команды на 27 тысяч долларов.

Во второй день соревнования снова отметился Чжу. На этот раз он попытался взломать браузер Firefox и его попытка увенчалась успехом. Для проведения атаки он использовал уязвимость, которая позволяет злоумышленникам читать информацию за пределами поля, и брешь, вызывающую переполнением в ядре Windows. Это принесло ему 50 тысяч долларов. В общей сложности Чжу удалось заработать 120 тысяч долларов . И еще ему присвоили 65 000 баллов ZDI, общая стоимость которых составляет 25 тысяч долларов.

Даже после нескольких неудачных попыток некоторые хакеры не останавливались и продолжали делать свою работу. Согласно регламенту соревнований, успешной считается атака, которую удалось осуществить не более чем с третьей попытки. Участники команды Ret2 Systems во время мероприятия совершили три попытки взлома Safari, но желаемого результата так и не добились. Однако их уверенность в том, что они идут в правильном направлении не дала им остановиться на полпути. Они совершили еще одну, четвертую попытку, которая закончилась успехом. В рамках соревнования они не получили никакого денежного вознаграждения, но уже после него Zero Day Initiative выкупили у экспертов по кибербезопасности информацию об уязвимости и передали ее Apple.

Еще один успешный взлом Safari удалось осуществить исследователям из MWR Labs. Они смогли осуществить побег из песочницы Safari и заработать на этом 55 тысяч долларов.

Отметим, что вместе с денежным вознаграждением хакеры также получили устройства, которые они использовали во время соревнования.