Microsoft Edge foi o navegador mais hackeado na competição na competição Pwn2Own

[puto 22]

Microsoft Edge foi o navegador mais hackeado na competição na competição Pwn2Own






A Pwn2Own 2017, nova edição da competição anual de segurança, chegou ao fim e os resultados não são muito bons para o Microsoft Edge.

Microsoft Edge na competição Pwn2Own 2017

Depois de três dias de competição, o Microsoft Edge saiu como o navegador mais hackeado do evento. No primeiro dia da competição, a equipe Team Ether da Tencent Security foi a primeira a hackear o novo navegador da Microsoft explorando uma vulnerabilidade no Chakra, o mecanismo JavaScript utilizado pelo Microsoft Edge. A equipe também explorou um bug na sandbox do navegador para escapar dela. Eles receberam um prêmio de US$ 80.000.

No segundo dia da competição Pwn2Own 2017, o Microsoft foi um dos principais alvos de várias equipes. Uma delas foi desclassificada por usar uma vulnerabilidade já divulgada publicamente, o que é proibido pelas regras. Por causa disso, duas outras equipes também desistiram de atacar o navegador da Microsoft.

Apesar disso, uma outra equipe da Tencent Security (Team Lance) explorou com sucesso uma nova vulnerabilidade no Chakra e um bug no kernel do Windows para obter privilégios mais altos no sistema operacional. A equipe recebeu um prêmio de US$ 55.000.

A equipe Team Sniper, que também é da Tencent Security, também explorou o Microsoft Edge e o kernel do Windows usando técnicas similares e por isso ela recebeu um prêmio com o mesmo valor.

O exploit mais impressionante, e também algo inédito na competição, foi utilizado no Microsoft Edge em uma máquina virtual para escapar dela. O feito foi conseguido por uma equipe de segurança da 360 Security. Para escapar da máquina virtual eles utilizaram uma vulnerabilidade do tipo heap overflow no Microsoft Edge, uma no kernel do Windows e uma no VMware Workstation. A equipe recebeu um prêmio de US$ 105.000.

O quinto ataque contra o Microsoft Edge foi de Richard Zhu, que explorou uma vulnerabilidade no navegador e uma no kernel do Windows. Ele recebeu um prêmio de US$ 55.000.

Outros navegadores

Safari
O primeiro ataque contra o navegador da Apple explorou três bugs para elevar privilégios no macOS. O prêmio neste caso foi de US$ 28.000 porque a vulnerabilidade já havia sido corrigida em uma versão Beta do navegador.

Outra equipe de pesquisadores do Chaitin Security Research Lab usou seis diferentes bugs para atacar com sucesso o navegador da Apple e ganhar acesso “root” ao macOS. A equipe recebeu um prêmio de US$ 35.00 por seus esforços.

As equipes Team Sniper e 360 Security também conseguiram hackear o Safari com sucesso no segundo dia da competição e receberam um prêmio de US$ 35.000.

Firefox
O Firefox não foi um dos alvos na edição de 2016 da competição por ter sido considerado como “fácil demais de ser hackeado”. As coisas mudaram um pouco desde então e duas tentativas de ataque foram feitas na edição de 2017 da competição de segurança.

Apenas uma dela teve sucesso ao explorar uma vulnerabilidade no próprio navegador e uma no kernel do Windows para obter privilégios mais altos no sistema operacional da Microsoft.

Google Chrome
A única tentativa de ataque ao Google Chrome foi da equipe Team Sniper da Tencent Security. A equipe não conseguiu concluir o ataque no tempo limite.

Confira mais detalhes sobre os três dias da competição de segurança Pwn2Own 2017.




Créditos: baboo