PWN2OWN比赛亮点更新黑客专注于内核问题
黑客在今年的PWN2WACHED竞赛中展示了21次攻击浏览器和操作系统的新漏洞。但是,漏洞利用的复杂性表明,黑客必须跳过许多箍来获得完整的系统控制。
周三和周四,五位参赛者 - 四支球队和一个独立的研究员 - 在Windows上展示了对OS X的Safari对阵Microsoft Edge的Safari成功的远程执行攻击,这是一个针对窗户的Adobe Flash和对Google的一个部分成功攻击镀铬在windows上。Firefox在今年的比赛中不是一个目标。
比赛在不列颠哥伦比亚省温哥华的Cansecwest安全会议期间每年举行一次。今年的版本由趋势科技和惠普Packard企业赞助。参赛者必须通过基于Web的攻击实现Windows 10和OS X El Capitan的最新安装,通过基于Web的攻击在最新版本的Apple Safari,Microsoft Edge,Google Chrome,Flash播放器和闪存播放器和闪存播放器和操作系统本身。
它不足为奇的是,经验丰富的安全研究人员在所有浏览器中发现漏洞,允许它们在目标系统上执行流氓代码。这几乎每年都在Pwn2own发生。
然而,攻击的复杂性突出,一些涉及利用最多四种漏洞的漏洞链。这是近年来浏览器和OS供应商所做的安全改进的证明。
它不再足以找到一个浏览器漏洞,以便在访问特制网站时完全控制计算机。该缺陷需要与他人组合以绕过沙箱保护机制或使用最高特权执行代码 - Windows上的“系统”帐户或OS X上的“根”帐户。
今年,该比赛提供了20,000美元的特权升级为“系统”或“root”,并且每一个成功攻击都采取了奖励,主要是通过在OS内核中利用漏洞。
在21个漏洞中,六个在浏览器中,六个在OS内核中。其余部分都在Flash播放器或OS组件和过程中。
Google Chrome漏洞旨在成为先前在PWN2own之前由独立的研究员向谷歌报告的缺陷的副本。因此,谷歌镀铬攻击只是统治了一个部分成功。
“这是安全的一种真正主义,当你强化一个地区时,攻击者和研究人员将注意他们的注意力,”安全公司趋势科技的竞赛组织者在一个博客文章中表示。“基于2016年的PWN2OWN,似乎正在发生在核心上的转变。”
他们说,这种趋势可能会继续,因此希望OS供应商将更多地关注其内核的安全性。
今年的比赛的获胜者是腾讯安全团队狙击手,占据了38“普洱大师”积分,并获得了142,500美元的总现金奖励。独立研究员Junghoon Lee赢得了更多的钱 - 145,000美元 - 但总体上得分更少:25.他拿了第二名。
来自中国互联网安全公司Qihoo 360的360Vulcan团队排名第三,拥有25分和132,500美元,第二次来自中国互联网巨头腾讯 - 腾讯安全团队盾牌 - 占地10分,40,000美元。腾讯宣武,第三个腾讯团队,并没有设法得分。
在VMware工作站的虚拟机逃生中,竞赛赞助商均未获得今年75,000美元的赏金。