В первый день Pwn2Own 2019 хакеры заработали $195 000 за взлом девайсов

[INC.]

В первый день Pwn2Own, ежегодного состязания хакеров, специалистам удалось заработать в общей сложности $195 000 за обнаружение уязвимостей в телевизорах, маршрутизаторах и смартфонах. Напомним, что в этом году Pwn2Own проходит в Токио.

Организатором этого мероприятия уже который год выступает проект Trend Micro Zero Day Initiative (ZDI). Для исследователей предусмотрены вознаграждения — выделили сумму в $750 000.

По условиям конкурса, хакеры должны создать рабочие эксплойты для уязвимостей в 17 системах.

«Подошёл к концу первый день Pwn2Own Токио 2019. В общей сложности за этот день мы выплатили $195 000 за 12 уязвимостей. Экспертам удалось девять раз успешно пробить защиту семи устройств, принадлежавших пяти категориям», — говорится в посте ZDI.

Таким образом, Амат Кама и Ричард Чжу из команды Fluoroacetate заработали $15 000 за взлом Sony X800G TV. Специалисты использовали JavaScript-уязвимость чтения за пределами границ во встроенном браузере.

В теории атакующий мог бы использовать эту брешь для установки шелла на устройстве. Понадобилось бы только заманить жертву на определённый вредоносный сайт.

Помимо этого, Кама и Чжу получили $60 000 за взлом устройства Amazon Echo. Ещё $15 000 — за компрометацию Samsung Q60 TV.

Не обошлось и без эксплойтов для смартфонов. Команда Fluoroacetate положила себе в карман $20 000 за уязвимость в Xiaomi Mi9. Согласно описанному исследователями сценарию, заманив пользователя на определённый ресурс, можно извлечь фотографии с этого смартфона.

Ещё $30 000 Чжу и Кама получили за атаку, в ходе которой удалось украсть картинку с Samsung Galaxy S10. Для этого эксперты задействовали NFC.

• Source: https://www.zerodayinitiative.com/blog/2019/11/6/pwn2own-tokyo-2019-day-one-results

 

[Crypto Locker]

Гении

 

[Lift]

Организатором этого мероприятия уже который год выступает проект Trend Micro Zero Day Initiative (ZDI).

И соседняя новость "Сотрудник Trend Micro продавал пользовательские данные скамерам" https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/33062/ вместе читаются прям на много приятнее)))

 

[INC.]

Подошло к концу соревнование Pwn2Own Tokyo 2019, традиционно проходившее в рамках конференции PacSec и организуемое Trend Micro Zero Day Initiative (ZDI). Это одно из двух ежегодных хакерских соревнований Pwn2Own. Первое проводится весной в Северной Америке и сосредоточено исключительно на взломе браузеров, операционных систем, серверных решений и виртуальных машин. Второе проводится осенью в Токио и посвящено мобильным технологиям. К тому же в прошлом году организаторы Pwn2Own впервые расширили осенний этап, включив в него IoT-устройства для умного дома.

В этом году призовой фонд соревнования составил 750 000 долларов, а список целей для Pwn2Own Tokyo выглядел следующим образом.

Смартфоны:

Xiaomi Mi 9
Samsung Galaxy S10
Huawei P30
Google Pixel 3 XL
Apple iPhone XS Max
Oppo F11 Pro

Носимые устройства:

Apple Watch Series 4
Oculus Quest (64Gb)

Домашняя автоматизация:

Portal от Facebook
Amazon Echo Show 5
Google Nest Hub Max
Amazon Cloud Cam Security Camera
Nest Cam IQ Indoor

Телевизоры:

Sony X800G Series - 43"
Samsung Q60 Series – 43"

Роутеры:

TP-Link AC1750 Smart WiFi Router
NETGEAR Nighthawk Smart WiFi Router (R6700)

В первый день соревнований себя показала команда Fluoroacetate, в состав которой входят Амат Кама (Amat Cama) и Ричард Чжу (Richard Zhu). Эта команда победила в двух последних соревнованиях Pwn2Own (в марте 2019 и ноябре 2018 года) и в настоящее время Кама и Чжу считаются одними из лучших хакеров в мире и наиболее результативными участниками Pwn2Own. В этом году эксперты успешно скомпрометировали колонку Amazon Echo, а также успешно взломали смарт-телевизоры Sony и Samsung, и смартфон Xiaomi Mi9.

В итоге Fluoroacetate заработали 15 000 долларов за взлом телевизора Sony X800G, выполненный через JavaScript out-of-bounds ошибку чтения во встроенном браузере. Злоумышленник может воспользоваться этим багом, чтобы получить шелл на устройстве, убедив жертву посетить вредоносный сайт через встроенный браузер телевизора.

Та же команда заработала еще 60 000 долларов за перехват контроля над устройством Amazon Echo, который был осуществлен посредством целочисленного переполнения. Еще 15 000 долларов принесло получение обратного шелла на телевизоре Samsung Q60, тоже реализованное через целочисленное переполнение.

Помимо этого Кама и Чжу заработали 20 000 долларов, когда смогли извлечь изображение со смартфона Xiaomi Mi9, просто перейдя на специально созданный сайт. Еще 30 000 долларов они получили за похищение изображения с Samsung Galaxy S10 через NFC.

Также в первый день неплохо поработала команда Team Flashback, в которую вошли Педро Рибейро (Pedro Ribeiro) и Радек Домански (Radek Domanski). Им удалось перехватить контроль над маршрутизатором NETGEAR Nighthawk Smart WiFi (R6700) через LAN-интерфейс, заработав 5000 долларов. Еще 20 000 долларов команде принес взлом того же маршрутизатора через интерфейс WAN и удаленное изменение его прошивки, что позволило получить устойчивое присутствие на устройстве, которое выдерживает даже сброс к заводским настройкам.

Педро Рибейро Team Flashback​

Помимо этого Team Flashback получила 5000 долларов за цепочку эксплоитов, позволяющую выполнить код на маршрутизаторе TP-Link AC1750 Smart WiFi через интерфейс LAN.

Индикаторы TP-Link AC1750 «играют в змейку» после атаки FSecureLabs ​

Последняя команда представляла F-Secure Labs и пыталась взломать маршрутизатор TP-Link и смартфон Xiaomi Mi9. Обе попытки оказались успешными лишь частично, но все равно заработали принесли хакерам 20 000 долларов. Специалисты продемонстрировали, что могут извлечь фотографию со смартфона Xiaomi, но некоторые из уязвимостей, которые они использовали, были уже известны производителю.

Во второй день соревнований из семи запланированных попыток взлома четыре были полностью успешными.

Лучше всего опять была команда Fluoroacetate, заработавшая 50 000 долларов за загрузку произвольного файла на Samsung Galaxy S10 (через подключение устройства к их мошеннической базовой станции). Также Кама и Чжу предприняли вторую попытку взломать Galaxy S10 через браузер, но они использовали уязвимость, которая уже применялась предыдущим участником.

В итоге Чжу и Кама заработали в общей сложности 195 000 долларов за два дня Pwn2Own, и в третий раз подряд были объявлены победителями соревнования, удостоившись звания Master of Pwn.

Рибейро и Домански из Team Flashback заработали 20 000 долларов за взлом маршрутизатора TP-Link AC1750 через WAN-интерфейс. Тот же маршрутизатор был взломан командой F-Secure Labs, которая также заработала 20 000 долларов. Обе команды смогли добиться выполнения произвольного кода на устройстве.

Команда F-Secure также получила 30 000 долларов за эксплоит, нацеленный на Xiaomi Mi9. Они использовали XSS-уязвимость в компоненте NFC для извлечения данных простым прикосновением к специально созданному NFC-тегу.

Результаты Pwn2Own Tokyo 2019 оказались скромнее весеннего турнира в Ванкувере. Участники предыдущего соревнования нашли 14 уязвимостей, которые принесли им $510 тысяч.

В общей сложности за два дня участники Pwn2Own смогли заработать 315 000 долларов за эксплуатацию 18 различных уязвимостей, и все они уже были раскрыты производителям. Теперь у вендоров есть 90 дней на исправление недостатков.

• Source: https://www.thezdi.com/blog/2019/11...tokyo-2019-schedule-and-live-updating-results

• Source: https://www.zerodayinitiative.com/blog/2019/11/7/pwn2own-tokyo-2019-day-two-final-results