Αρκετά ευάλωτος έδειξε ο Edge Browser της Microsoft στον διαγωνισμό hacking Pwn2Own 2017

Το Pwn2Own 2017 είναι ένας διαγωνισμός hacking, που φέτος γιόρτασε τα 10 χρόνια διοργάνωσης, και ομάδες ασφαλείας χάκαραν browsers και λειτουργικά συστήματα. Ο Edge της Microsoft φαίνεται να έχει χακαριστεί πιο πολύ απ’ όλους, ενώ τον Chrome δεν κατάφερε κανένας να τον διαπεράσει.

Η Microsoft δημιούργησε τον Edge browser με το να ξανά γράψει τα περισσότερα κομμάτια του από το μηδέν. Ο στόχος της εταιρείας ήταν να έχει ένα browser πολύ πιο ασφαλή και να μπορεί να είναι κοντά στον Chrome και στο Firefox όταν έρχεται στο να υποστηρίξει τα τελευταία web πρότυπα. Ο Edge έχει ενσωματωμένες sandboxing τεχνολογίες και είναι παρόμοιες με αυτές που χρησιμοποιεί ο Chrome.

Παρόλα αυτά,  εκτός από τις βελτιώσεις στον κώδικα και στην ασφάλεια, δεν έχει αποδείξει ότι είναι τόσο ασφαλής όταν ήρθε αντιμέτωπος με τους έμπειρους hackers σε διαγωνισμούς όπως ο Pwn2Own. Στον περσινό διαγωνισμό, ο Edge απέδειξε πως είναι λίγο καλύτερος από τον Explorer και το Safari, αλλά κατέληξε να τον χακάρουν δύο φορές, ενώ το Chrome είχε χακαριστεί ένα μέρος του μια φορά.

Τα πράγματα φαίνεται πως είναι χειρότερα αντί για καλύτερα για τον Edge.

Φέτος, στον διαγωνισμό, ο Edge χακαρίστηκε πέντε τουλάχιστον φορές.

Την πρώτη μέρα, η ομάδα Ether ήταν η πρώτη που εισέβαλε στον Edge μέσω ενός αυθαίρετου κώδικα που γράφτηκε στο Chakra στο Javascript. Η ομάδα για αυτό, κέρδισε $80,000 ως έπαθλο.

Την δεύτερη μέρα, δέχτηκε επίθεση από αρκετές ομάδες. Παρόλα αυτά, μόνο μια κατάφερε να τον διαπεράσει, και ήταν με έναν παρόμοιο τρόπο όπως της προηγούμενης μέρας.

Η ομάδα Lance κατάφερε επιτυχώς να εκμεταλλευτεί τον browser της Microsoft χρησιμοποιώντας ένα use-after-free στο Chakra, και μετά ένα άλλο UAF στο kernel των Windows για να χειρίζεται τα προνόμια του συστήματος. Αυτό τους έδωσε το χρηματικό έπαθλο των $55,000.

Η επόμενη επίθεση έγινε από την 360 Security με έναν εντυπωσιακό τρόπο, ο οποίος τους έδωσε $105,000.