21.11.2016

Co se dělo na PwnFestu 2016?

Minulý týden, 10. a 11. listopadu, proběhla soutěž PwnFest 2016, při které byly demonstrovány zranitelnosti na všech majoritních platformách od Apple až po VMWare.

Cover 6

PwnFest je nová součást každoroční konference POC, která se odehrává v hlavním městě Jižní Koreji. Historie samotné konference sahá až do roku 2006, kdy proběhl její první ročník organizovaný korejskými bezpečnostními experty ze všech odvětví. Hlavními cíli jsou kreativní diskuze a ukázky reálného pohledu na bezpečnost a black/white-hat hacking.

Soutěže se účastnily celkem tři týmy, dva z Číny a jeden z Jižní Koreji, přitom zaregistrovat se s funkčním exploitem mohl kdokoliv před konáním festivalu. Útočilo se na majoritní platformy několika firem, v čele s Windows 10 a macOS Sierra, přičemž na každý útok (vyjma konfigurace zařízení) měli účastníci 4 minuty – avšak ti nejrychlejší zvládli spuštění exploitu, tedy kompromitaci celého zařízení, za pouhých 18 sekund.

windows-10-1.jpg

První na řadu přišel Microsoft Edge (x64), internetový prohlížeč dodávaný společně s Windows 10. Demonstrovány byly celkem dva exploity, jeden týmem Qihoo 360 a druhý bezpečnostním expertem z Jižní Koreje s přezdívkou Lokihardt, za něž si každý odnesl peněžní odměnu $140,000.

Dále jsme mohli vidět po sedmi letech první veřejně provedený útok (CVE-2016-7461) na virtualizační software od VMWare, konkrétně Workstation Player/Pro ve verzi 12.x a Fusion (Pro) 8.x. Exploit využívá chyby při přesouvání dat z hostitelského systému na virtualizovaný. Vzhledem k tomu, že software běží jako administrátor, shellcode bude spuštěn se stejnou úrovní přístupu. Opět bodovali jak tým Qihoo 360, tak bezpečnostní expert Lokihardt, a odnesli si každý $150,000.

Druhý den přišel na řadu notoricky děravý Adobe Flash, na kterém si tým Qihoo 360 dovolil použít několik let starou zero–day zranitelnost v kombinaci se zranitelností ve win32k (Windows kernel). Za tento hack si odnesl tým dalších $120,000.

google-pixel-phone-hack.png

Následně neméně známý bezpečnostní tým z Číny, Pangu, který se zabývá převážně Apple produkty a uvolňuje jailbreaky pro iPhone zdarma, se pochlubil svým exploitem v nejnovější verzi prohlížeče Safari, který kompromituje macOS Sierra, a poskytne root přístup ve 20 sekundách díky další zero–day zranitelnosti.

Nakonec se ukázal opět tým Qihoo 360, jenž vytáhl z rukávu zranitelnost proti poslednímu produktu ve hře – minulý měsíc uvolněnému mobilnímu telefonu Google Pixel poháněným systémem Android. Opět zero–day zranitelnost spočívající ve vzdáleném spuštění shellcode, završená otevřením Play Store, stáhnutím prohlížeče Google Chrome a otevřením připravené stránky.

Veškeré publikované zranitelnosti byly nahlášeny příslušným firmám s jejich detaily. Většina výrobců zareagovala během velmi krátké doby, a proto se vyplatí stáhnout si nejnovější verzi vámi používaných produktů. Příkladem VMWare již danou chybu zdokumentoval, opravil a vydal aktualizace ovlivněných produktů.

Více na pwnfest.com

Kam dál?