Την τρίτη ημέρα του hacking διαγωνισμού Pwn2Own 2017 που πραγματοποιήθηκε στο Βανκούβερ την Παρασκευή, ένας guest σε σύστημα Windows που ήταν εγκατεστημένο σε VMware Workstation κατάφερε να “δραπετεύσει” δύο φορές.
Η κινέζικη ομάδα της εταιρείας ασφαλείας Qihoo 360 ξεκίνησε αξιοποιώντας ευπάθειες στον Edge browser της Microsoft που της επέτρεψαν να “φύγει” από την εικονική μηχανή VMware, και να φτάσει στο κυρίως σύστημα. Η ομάδα από τη συγκεκριμένη επίθεση κατάφερε να κερδίσει ένα έπαθλο των 105.000 δολαρίων.
Η δεύτερη απόδραση από το VMware Workstation έγινε από την ομάδα της Tencent Security, η οποία κέρδισε 100.000 δολάρια για την παρουσίαση μιας ευπάθειας Windows kernel use-after-free σε συνδυασμό με ένα “Workstation infoleak and an uninitialized buffer in Workstation to go guest-to-host.”
Και οι δύο ομάδες ήταν σε θέση να ξεφύγουν από τις εικονικές μηχανές και βρέθηκαν να είναι πρώτοι και δεύτεροι αντίστοιχα στην κατάταξη του διαγωνισμού.
Τις προηγούμενες ημέρες του διαγωνισμού Pwn2Own 2017, που τις έχουμε περιγράψει σε παλαιότερη δημοσίευση, παραβιάστηκαν (πάλι) το Flash, το Windows Kernel, ο Microsoft Edge, το MacOS Kernel, ο Firefox και ο Safari ο browser της Apple.
Να αναφέρουμε ότι τον Οκτώβριο, η Microsoft δήλωσε ότι γνώριζε τις τέσσερις ευπάθειες zero-day που υπάρχουν στον Edge, το Office, και τον Internet Explorer.