Der diesjährige Pwn2Own-Wettbewerb endete nach drei Tagen voller Hackerangriffe auf Browser und Betriebssysteme. Am Ende war der Edge-Browser von Microsoft der Verlierer, nachdem er Angriffe während des Ereignisses nicht abgewehrt hatte.

Ein Team des chinesischen Sicherheitsunternehmens Qihoo 360 hat Edge ausgenutzt und zwei Sicherheitslücken miteinander verknüpft, um einem VMware Workstation-Host zu entkommen. Das Team erhielt 105.000 US-Dollar als Belohnung für die Entdeckung der Sicherheitslücken. Die Zero Day Initiative, die den Wettbewerb gesponsert hat, sagte in einem Blogbeitrag:

Unser Tag begann mit den Leuten von 360 Security (@ mj0011sec), die versuchten, eine vollständige virtuelle Maschinenflucht über Microsoft Edge zu erreichen. In einer Premiere für den Pwn2Own-Wettbewerb gelang ihnen der absolute Erfolg, indem sie einen Heap-Überlauf in Microsoft Edge, eine Typverwirrung im Windows-Kernel und einen nicht initialisierten Puffer in VMware Workstation für eine vollständige Flucht vor virtuellen Maschinen nutzten. Diese drei Bugs brachten ihnen 105.000 US-Dollar und 27 Master of Pwn-Punkte ein. Sie werden nicht genau sagen, wie lange die Recherche gedauert hat, aber die Code-Demonstration hat nur 90 Sekunden gedauert.

Als Nächstes zielte Richard Zhu (Fluoreszenz) mit einer Eskalation auf SYSTEM-Ebene auf Microsoft Edge ab. Obwohl sein erster Versuch fehlschlug, nutzte sein zweiter Versuch zwei separate UAF-Fehler (Use-After-Free) in Microsoft Edge und eskalierte dann mithilfe eines Pufferüberlaufs im Windows-Kernel zu SYSTEM. Dies brachte ihm 55.000 US-Dollar und 14 Punkte für Master of Pwn ein.

Tencent Security erhielt außerdem 100.000 US-Dollar für die zweite VMware Workstation-Flucht. ZDI erklärte:

Bei der letzten Veranstaltung des Tages und des Wettbewerbs war Tencent Security - Team Sniper (Keen Lab und PC Mgr) auf VMWare Workstation (Guest-to-Host) ausgerichtet, und die Veranstaltung endete sicherlich nicht mit einem Wimmern. Mithilfe einer Kette mit drei Fehlern gewannen sie die Kategorie "Virtual Machine Escapes (Guest-to-Host)" mit einem VMWare Workstation-Exploit. Dazu gehörten ein Windows-Kernel-UAF, ein Arbeitsstations-Infoleak und ein nicht initialisierter Puffer in der Arbeitsstation, um von Gast zu Host zu wechseln. Diese Kategorie hat die Schwierigkeit noch weiter verschärft, da VMware Tools nicht auf dem Gast installiert waren.

Obwohl es dem Pwn2Own-Wettbewerb an einer fairen Methode mangelt, jeden Browser gleichermaßen anzugreifen, ist Microsoft offensichtlich noch weit davon entfernt, die Sicherheit von Edge zu verbessern.