在今年的Pwn2Own黑客大赛上,黑客展示了针对浏览器和操作系统的21个新漏洞。然而,这种攻击的复杂性表明,黑客必须跨越许多障碍才能获得完全的系统控制权。
在周三和周四,五名参赛者——四支队伍和一名独立研究人员——演示了三次针对OS X上的Safari的成功远程代码执行攻击,两次针对Windows上的Microsoft Edge,四次针对Windows上的Adobe Flash,以及一次针对Windows上的谷歌Chrome的部分成功攻击。火狐并不是今年比赛的目标。
该竞赛每年在加拿大温哥华举行的CanSecWest安全会议期间举行。今年的版本是由趋势科技和惠普企业赞助的。参赛者必须在最新的安装上实现远程代码执行Windows 10和OS X El Capitan通过网络攻击,这些攻击利用了苹果Safari、微软Edge、谷歌Chrome、Flash Player和操作系统本身的最新版本中此前未知的漏洞。
经验丰富的安全研究人员在所有浏览器中都发现了漏洞,从而允许他们在目标系统上执行流氓代码,这并不奇怪。Pwn2Own几乎每年都会发生这种情况。
然而,这些攻击的复杂性引人注目,其中一些攻击链利用了多达四个漏洞。这证明了浏览器和操作系统厂商近年来在安全方面所做的改进。
当电脑访问一个专门设计的网站时,仅仅发现一个浏览器漏洞就能完全控制电脑已经不够了。这个缺陷需要与其他缺陷结合起来,以绕过沙箱保护机制,或以最高权限执行代码——Windows上的“系统”帐户或OS X上的“根”帐户。
今年,该竞赛为升级到“系统”或“root”的特权提供了2万美元的奖金,每一次成功的攻击都拿走了这笔奖金,主要是利用了操作系统内核中的漏洞。
在总共21个漏洞中,6个在浏览器中,6个在操作系统内核中。其余的是Flash Player或操作系统组件和进程。
谷歌Chrome漏洞被证明是一个重复的漏洞,此前一个独立研究人员曾在Pwn2Own之前报告给谷歌。正因为如此,谷歌Chrome攻击只取得了部分成功。
来自安全公司趋势科技(Trend Micro)的竞赛组织者在一篇文章中说,“在安全领域,当你强化一个区域时,攻击者和研究人员就会把注意力转移到另一个区域,这是一条不言而喻的真理。博客.“从Pwn2Own 2016来看,这似乎是随着内核的转移而发生的。”
他们表示,这一趋势很可能会持续下去,所以希望操作系统供应商将更多地关注内核的安全性。
今年比赛的赢家是腾讯安全狙击团队,他们累计获得了38分的“Pwn大师”积分,并获得了总计14.25万美元的现金奖励。独立研究员junghon Lee赢得了更多的奖金——14.5万美元——但总体得分更低:25分。他得了第二名。
来自中国互联网安全公司奇虎360的360火神团队以25分和13.25万美元获得第三名,来自中国互联网巨头腾讯的第二支团队——腾讯安全盾团队——以10分和4万美元获得第四名。腾讯的第三支队伍——腾讯玄武,根本没有得分。
的75000美元赏金今年由竞赛赞助商放置在VMware工作站的虚拟机escape上,没有任何参赛者获胜。