Simovits

Pwn2Own

Den årliga tävlingen Pwn2Own är en tävling där ”hackers” från hela världen samlas och försöker hitta zero-days till olika mjukvaror. För er som inte är bekanta med zero-days, så är det sårbarheter i mjukvaror som inte är kända för mjukvaruleverantören. Vilket innebär att leverantören inte har vetskap om att deras mjukvara besitter säkerhetsbrister och dagen då en zero-day blir känd skulle den med samma nomenklatur bli kallad en one-day sårbarhet.

Pwn2Own anordnas av organisationen Zero Day Initiative (ZDI) som är ett bug-bounty program och drivs av säkerhetsföretaget Trend Micro. ZDI skapades i syfte att förbättra Trend Micros IDS i syfte att i större utsträckning kunna upptäcka hur skadlig kod beter sig. I ett tidigt skede agerade ZDI endast som ett bug-bounty program där de köpte zero-day sårbarheter av säkerhetsforskare och hackers, men under en konferens 2007 där ZDI medverkade ville en av anordnarna (Dragos Ruiu) till konferensen demonstrera att OS X var sårbara mot attacker. Ruiu var frustrerad över Apples slappa hantering av annonserade sårbarheter i OS X. Konsensus under 2007 var att OS X var säkrare än alla andra operativsystem trots att det existerade publikt kända sårbarheterna till operativsystemet. Ruiu meddelade tre veckor innan konferensen att han skulle ställa fram två MacBooks under konferensen och om någon kunde hacka dem så blev de deras. Därav namnet Pwn2Own, du måste pwna enheten för att få äga den.

Under den pågående konferensen frågade Ruiu ZDI om de var villiga att betala $10000 för eventuella sårbarheter som användes för att hacka OS X, vilket de gick med på och den tävling som finns idag initierades. Datorerna som ställdes ut blev ”pwnade” (komprometterade) på en kväll genom en sårbarhet i QuickTime.

Sedan dess har det anordnas årliga tävlingar där deltagarna ska påvisa zero-days i olika mjukvaror. Under tävlingens tidiga år var det endast webbläsare som angreps och reglerna för tävlingen var att en användare skulle surfa in på angriparnas (deltagarnas) hemsida utan ytterligare interaktion från användaren. En användare ska alltså inte behöva trycka på en länk eller tvingas ladda ner något från hemsidan utan endast surfa till den. Från det skulle angriparna få upp Kalkylatorn (calc.exe) på det underliggande operativsystemet. Sedan tävlingen startades 2007 har det varje år identifierats zero-day sårbarheter till olika webbläsare där en angriparen kunnat ta över användarens operativsystem och fått godtycklig kodexekvering. Det är häpnadsväckande att det varje år i 14 år identifierats nya unika zero-day sårbarheter till webbläsare och andra mjukvaror. Det bevisar bara att det aldrig kommer att existera en helt säker mjukvara.

Under årets Pwn2Own var det över 20 zero-day sårbarheter som bidrog till att angriparna kunde få kodexekvering på det underliggande operativsystemet. En av de mest intressanta sårbarheterna som utnyttjades var en attackkedja på tre olika sårbarheter i Zoom som bidrog till att angriparna kunde exekvera Kalkylatorn från det underliggande operativsystemet utan en användares interaktion. Tweet med gif-animation nedan visar hur calc.exe exekveras med hjälp av sårbarheten i Zoom.

Utöver Zoom så utnyttjades följande programvaror/operativssystem för att få kodexekvering (ingen av sårbarheterna har blivit publika än då leverantörerna får 90 dagar på sig att åtgärda sårbarheten innan ZDI släpper en rapport):

Under 14 år har det under Pwn2Own genererats hundratals zero-day sårbarheter som medger kodexekvering i diverse mjukvaror. Det är bara vad som uppdagas under tävlingarna och av personer som är välvilliga och vill bidra till ett säkrare samhälle. Då tillkommer de sårbarheter som inte uppdagas under tävlingarna av illvilliga personer som använder dessa i ont uppsåt. Dessa, och liknande, tävlingar är ett viktigt steg för att ligga före antagonisterna och är bidragande till ett säkert och demokratiskt samhälle.

För mer information gällande tävlingen hänvisas läsaren till: https://www.zerodayinitiative.com/