El concurso Pwn2Own de este año terminó después de tres días de piratear navegadores y sistemas operativos. Al final, el navegador Edge de Microsoft se convirtió en el perdedor después de no haber podido protegerse de los ataques durante el evento.
Un equipo de la empresa de seguridad china Qihoo 360 explotó Edge y enlazó dos fallos de seguridad para escapar de un host de VMware Workstation. El equipo recibió 105.000 dólares como recompensa por descubrir las vulnerabilidades. Zero Day Initiative, que patrocinó el concurso, dijo en una entrada del blog:
Nuestro día comenzó con la gente de 360 Security (@mj0011sec) intentando escapar de una máquina virtual completa a través de Microsoft Edge. En una primicia para la competencia de Pwn2Own, lo consiguieron aprovechando un desbordamiento de heap en Microsoft Edge, una confusión de tipo en el kernel de Windows y un búfer no inicializado en VMware Workstation para un escape completo de la máquina virtual. Estos tres bichos ganaron $105,000 y 27 puntos de Master of Pwn. No dirán exactamente cuánto tiempo les llevó la investigación, pero la demostración de código sólo necesitó 90 segundos.
A continuación, Richard Zhu (fluorescencia) apuntó a Microsoft Edge con una escalada a nivel de SISTEMA. Aunque su primer intento falló, su segundo intento aprovechó dos bugs separados de uso después de libre (UAF) en Microsoft Edge y luego escaló a SYSTEM usando un desbordamiento de búfer en el kernel de Windows. Esto le valió 55.000 dólares y 14 puntos al Maestro del Pwn.
Tencent Security también obtuvo 100.000 dólares por el segundo escape de VMware Workstation. ZDI explicó:
El evento final tanto del día como del concurso tuvo Tencent Security – Team Sniper (Keen Lab y PC Mgr) dirigido a VMWare Workstation (Guest to Host), y el evento ciertamente no terminó con un gemido. Utilizaron una cadena de tres errores para ganar la categoría de Escapes de máquinas virtuales (Invitado a host) con una vulnerabilidad de VMWare Workstation. Esto incluía un UAF del núcleo de Windows, una fuga de información de la estación de trabajo y un búfer no inicializado en la estación de trabajo para ir de huésped a host. Esta categoría aumentó aún más la dificultad porque las herramientas de VMware no estaban instaladas en el huésped.
Aunque el concurso Pwn2Own carece de un método justo para atacar a todos los navegadores en igual medida, es obvio que a Microsoft aún le queda un largo camino por recorrer para mejorar la seguridad de Edge.