-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Pwn2Own – masakra Chrome/IE/Safari za $225 000

21 marca 2015, 14:02 | W biegu | komentarze 4

Niedawno załoga z3s pisała o sukcesach naszego rodaka Mateusza Młyńskiego – w hackowaniu Firefoksa. Jednocześnie uczestnik konkursu Pwn2Own, o tym razem niepolsko brzmiącym nazwisku: Jung Hoon Lee, rozbił bank zgarniając $225 000.

Zaczął od ataku na najnowszą wersję Chrome – uzyskując wykonanie kodu w OS z wyskoczeniem z sanbox-a (samo to było warte $75 000), na dobitkę wykorzystał dwa błędy w sterownikach Windowsa otrzymując podniesienie uprawnień do SYSTEM.

Organizatorzy wyliczyli efektywność prezentacji na $916 per sekunda (prezentacja exploitu trwała ~2 minuty).

Na dobitkę Lee pokazał atak na IE oraz Safari (oba exploity również z wyskoczeniem z sandbox-a).

Co ciekawe, wszystkie windowsowe maszyny miały włączony mechanizm EMET, co potwierdza że dla chcącego i sprytnego – nic trudnego ;-)

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Hoo

    Czas spieprzać w Bieszczady, do chaty bez prądu i zasięgu telefonii komórkowej.

    Odpowiedz
  2. Za 225 dolarów i 000 centów? Jakoś tak biednie. Separatorem tysięcy w języku polskim jest kropka lub spacja.

    Odpowiedz
  3. Paweł

    „$916 / per sekunda”
    Wydawało mi się, że „/” == „per”.
    916 dolarów na na sekundę? :P

    Odpowiedz

Odpowiedz na Hoo