В минувшие выходные в Китае прошло соревнование Tianfu Cup, на котором, как на Pwn2Own, лучшие хакерские команды соревновались, взламывая популярные продукты. Суть состязания заключается в том, чтобы использовать ранее неизвестные уязвимости и с их помощью перехватить контроль над приложением или устройством. Если атака удалась, исследователи получают баллы, денежные призы, а также соответствующую репутацию, которая неминуемо следует за победой в подобном мероприятии.
В сущности, Tianfu Cup очень похож на Pwn2Own и был создан именно после того, как в 2018 году китайское правительство запретило местным ИБ-исследователям участвовать в хакерских конкурсах, организованных за рубежом. Первое соревнование Tianfu Cup состоялось осенью 2018 года, и тогда исследователи успешно взломали такие приложения, как Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox и не только.
В этом году Tianfu Cup выдался не менее успешным для участников. Так, на первый день соревнований 11 командами было запланировано сразу 32 различных взлома, целями которых были Edge, Chrome, Safari, Office 365 и не только. По итогам дня успешными оказались из этих 13 атак. Еще 7 попыток потерпели неудачу, и в 12 случаях исследователи по разным причинам были вынуждены отказаться от своих попыток.
Подводя итоги первого дня, организаторы соревнования сообщили о следующих успешных взломах:
• (3 успешных эксплоита) Microsoft Edge (старая версия на движке EdgeHTML, а не новая версия Chromium);
• (2 успешных эксплоита) Chrome;
• (1 успешный эксплоит) Safari;
• (1 успешный эксплоит) Office 365;
• (2 успешных эксплоита) Adobe PDF Reader;
• (3 успешных эксплоита) Маршрутизатор D-Link DIR-878;
• (1 успешный эксплоит) QEMU-KVM + Ubuntu.
В итоге, по результатам первого дня по количеству баллов лидировала команда Team 360Vulcan, бывший победитель Pwn2Own.
На второй день соревнований были запланированы 16 попыток взлома. Результативными оказались только половина из них, а в восьми случаях исследователи вновь отказались от своих намерений. Из восьми успешных атак, впрочем, цели достигли только семь, и одна атака не сработала. Семь сработавших как должно эксплоитов предназначались для:
• (4 успешных эксплоита) D-Link DIR-878;
• (2 успешных эксплоита) Adobe PDF Reader;
https://twitter.com/TianfuCup/status/1195900405365891072
• (1 успешный эксплоит) VMWare Workstation.
https://twitter.com/TianfuCup/status/1195904787373383681
https://twitter.com/TianfuCup/status/1195910677241532416
К сожалению, во второй день состязаний участники Team 360Vulcan отказались от попытки взлома iOS, которая также была запланирована последней, чтобы завершить турнир. В целом участники из разных команд потерпели неудачу или отказались от попыток взлома Edge, Chrome, Safari, Adobe Reader, Oracle VirtualBox, TP-Link и роутеров D-Link, Windows Server 2019, VMware Workstation и iPhone 11 Pro.
Тем не менее, Team 360Vulcan все равно стала победителем соревнования, заработав 382 500 долларов за свои усилия по взлому Microsoft Edge, Microsoft Office 365, qemu+Ubuntu, Adobe PDF Reader и VMWare Workstation. Так, одни лишь эксплоиты для VMWare и qemu+Ubuntu принесли им 200 000 и 80 000 долларов соответственно.
Занявшая второе место, ddd Team, заработала в общей сложности 83 750 долларов за эксплоиты, нацеленные на Edge, Chrome, Adobe Reader и роутеры D-Link.
• Source: www.tianfucup.com
В сущности, Tianfu Cup очень похож на Pwn2Own и был создан именно после того, как в 2018 году китайское правительство запретило местным ИБ-исследователям участвовать в хакерских конкурсах, организованных за рубежом. Первое соревнование Tianfu Cup состоялось осенью 2018 года, и тогда исследователи успешно взломали такие приложения, как Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox и не только.
В этом году Tianfu Cup выдался не менее успешным для участников. Так, на первый день соревнований 11 командами было запланировано сразу 32 различных взлома, целями которых были Edge, Chrome, Safari, Office 365 и не только. По итогам дня успешными оказались из этих 13 атак. Еще 7 попыток потерпели неудачу, и в 12 случаях исследователи по разным причинам были вынуждены отказаться от своих попыток.
Подводя итоги первого дня, организаторы соревнования сообщили о следующих успешных взломах:
• (3 успешных эксплоита) Microsoft Edge (старая версия на движке EdgeHTML, а не новая версия Chromium);
• (2 успешных эксплоита) Chrome;
• (1 успешный эксплоит) Safari;
• (1 успешный эксплоит) Office 365;
• (2 успешных эксплоита) Adobe PDF Reader;
• (3 успешных эксплоита) Маршрутизатор D-Link DIR-878;
• (1 успешный эксплоит) QEMU-KVM + Ubuntu.
В итоге, по результатам первого дня по количеству баллов лидировала команда Team 360Vulcan, бывший победитель Pwn2Own.
На второй день соревнований были запланированы 16 попыток взлома. Результативными оказались только половина из них, а в восьми случаях исследователи вновь отказались от своих намерений. Из восьми успешных атак, впрочем, цели достигли только семь, и одна атака не сработала. Семь сработавших как должно эксплоитов предназначались для:
• (4 успешных эксплоита) D-Link DIR-878;
• (2 успешных эксплоита) Adobe PDF Reader;
https://twitter.com/TianfuCup/status/1195900405365891072
• (1 успешный эксплоит) VMWare Workstation.
https://twitter.com/TianfuCup/status/1195904787373383681
https://twitter.com/TianfuCup/status/1195910677241532416
К сожалению, во второй день состязаний участники Team 360Vulcan отказались от попытки взлома iOS, которая также была запланирована последней, чтобы завершить турнир. В целом участники из разных команд потерпели неудачу или отказались от попыток взлома Edge, Chrome, Safari, Adobe Reader, Oracle VirtualBox, TP-Link и роутеров D-Link, Windows Server 2019, VMware Workstation и iPhone 11 Pro.
Тем не менее, Team 360Vulcan все равно стала победителем соревнования, заработав 382 500 долларов за свои усилия по взлому Microsoft Edge, Microsoft Office 365, qemu+Ubuntu, Adobe PDF Reader и VMWare Workstation. Так, одни лишь эксплоиты для VMWare и qemu+Ubuntu принесли им 200 000 и 80 000 долларов соответственно.
Занявшая второе место, ddd Team, заработала в общей сложности 83 750 долларов за эксплоиты, нацеленные на Edge, Chrome, Adobe Reader и роутеры D-Link.
• Source: www.tianfucup.com
Последнее редактирование: