Porazili proizvođače softvera: Hakeri osvojili pola miliona dolara!

Nagradni fond ovogodišnjeg hakerskog takmičenja „Pwn2Own“ koje se održava u okviru konferencije „CanSecWest“ u Vankuveru, u Kanadi, je skoro u potpunosti potrošen jer su hakeri osvojili ukupno 480000 dolara ubedljivo porazivši proizvođače softvera. Tokom protekla dva dana, hakovani su Majkrosoft Ekesplorer 10, Gugle Hrome i Mozilla Fajerfoks. Osim „browser“-a, hakeri su savladali i Java-u, „Adobe Flash Player“ i „Adobe Reader“. Jedini program, učesnik takmičenja, koji nije hakovan je Epl „Safari“ na Mak „OS X Mountain Lion“. Osim novčanih nagrada, hakeri će svojim kućama poneti i laptop računare koje su uspeli da hakuju.
„U svetu „Pwn2Own“, uspešan napad znači da samo pregledavanjem nepouzdanog web sadržaja možete ubaciti i pokrenuti proizvoljan izvršni kod izvan pretraživača“, kaže Pol Daklin iz „Sophos“-a.
U stvarnom svetu, to znači da možete izvesti drive-by install napad, u kojem zaobilazite sve zaštite, preventivne mere i pop-ap upozorenja pretraživača.“
Istraživači francuske firme „VUPEN Security“ su u sredu hakovali Majkrosoft surfejs pro sa Vindouz 8 i to zahvaljujući dvema 0-day ranjivostima u IE 10. „VUPEN“-ovi hakeri su koristili tako „elegantnu“ ranjivost u IE 10 da čak nije došlo ni do pucanja pretraživača tokom napada. Oni su pokrenuli proces izvan „sandbox“-a tako da napadnti korisnik, u realnim okolnostima, ne bi čak ni znao da je hakovan.
Ubrzo posle toga, isti istraživači su hakovali i Fajerfoks zahvaljujući „use-after-free“ ranjivosti kao i potpuno novoj tehnici kojom su zaobišli ASLR (Address Space Layout Randomization) i DEP (Data Execution Prevention) na Vindouz 7.
Istraživači VUPEN-a su kompromitovali i „Adobe Flash Player“ a zajedno sa nezavisnim istraživačem Benom Marfijem, Džošuom Drejkom iz „Accuvant“-a i Džejmsom Foršovom iz „Context Information Security“ uspešno su napali i Java-u. Džordž Hok je hakovao „Adobe Reader“, dok su istraživači „MWR Labs“-a hakovali Gugl hrome.

Izvor: Kurir