De Pwn2Own-wedstrijd van dit jaar is afgelopen na drie dagen hacken van browsers en besturingssystemen. Aan het einde kwam Microsoft's Edge-browser naar voren als de verliezer nadat hij er niet in was geslaagd aanvallen tijdens het evenement af te weren.

Een team van het Chinese beveiligingsbedrijf Qihoo 360 heeft Edge geëxploiteerd en twee beveiligingsfouten aan elkaar gekoppeld om te ontsnappen aan een VMware Workstation-host. Het team ontving $ 105.000 als beloning voor het ontdekken van de kwetsbaarheden. Zero Day Initiative, dat de wedstrijd sponsorde, zei in een blogpost:

Onze dag begon met de mensen van 360 Security (@ mj0011sec) die een volledige virtuele machine probeerden te ontsnappen via Microsoft Edge. In een primeur voor de Pwn2Own-competitie slaagden ze er absoluut in om een ​​heap-overflow in Microsoft Edge, een typewarring in de Windows-kernel en een niet-geïnitialiseerde buffer in VMware Workstation te gebruiken voor een volledige ontsnapping van de virtuele machine. Deze drie bugs verdienden ze $ 105.000 en 27 Master of Pwn-punten. Ze zullen niet precies zeggen hoe lang het onderzoek heeft geduurd, maar de codedemonstratie had slechts 90 seconden nodig.

De volgende stap was Richard Zhu (fluorescentie) gericht op Microsoft Edge met een escalatie op SYSTEEM-niveau. Hoewel zijn eerste poging mislukte, maakte zijn tweede poging gebruik van twee afzonderlijke UAF-bugs (use-after-free) in Microsoft Edge en escaleerde vervolgens naar SYSTEEM met behulp van een bufferoverloop in de Windows-kernel. Dit leverde hem $ 55.000 en 14 punten op voor Master of Pwn.

Tencent Security kreeg ook $ 100.000 voor de tweede ontsnapping van VMware Workstation. ZDI legde uit:

Het laatste evenement voor zowel de dag als de wedstrijd had Tencent Security - Team Sniper (Keen Lab en PC Mgr) gericht op VMWare Workstation (Guest-to-Host), en het evenement eindigde zeker niet met een gejammer. Ze gebruikten een keten met drie bugs om de categorie Virtual Machine Escapes (gast-naar-host) te winnen met een exploit van VMWare Workstation. Dit omvatte een Windows-kern UAF, een Workstation-infoleak en een niet-geïnitialiseerde buffer in Workstation om gast-naar-host te worden. Deze categorie heeft de moeilijkheid nog verder opgevoerd omdat VMware Tools niet in de gast waren geïnstalleerd.

Hoewel de Pwn2Own-wedstrijd een eerlijke methode mist om elke browser in gelijke mate aan te vallen, heeft Microsoft uiteraard nog een lange weg te gaan om de beveiliging van Edge te verbeteren.