Dette års Pwn2Own-konkurrence indpakket efter tre dage med hacking af browsere og operativsystemer. I slutningen dukkede Microsofts Edge-browser op som taberen efter at have undladt at afværge angreb under begivenheden.

Et team fra det kinesiske sikkerhedsfirma Qihoo 360 udnyttede Edge og koblede to sikkerhedsfejl sammen for at flygte fra en VMware Workstation-vært. Holdet modtog $ 105.000 som en belønning for at opdage sårbarhederne. Zero Day Initiative, der sponsorerede konkurrencen, sagde i et blogindlæg:

Vores dag startede med, at folk fra 360 Security (@ mj0011sec) forsøgte en fuld virtuel maskintømning gennem Microsoft Edge. I en første til Pwn2Own-konkurrencen lykkedes de absolut ved at udnytte en bunkeoverløb i Microsoft Edge, en type forvirring i Windows-kernen og en uinitialiseret buffer i VMware Workstation for en komplet virtuel maskintømning. Disse tre bugs tjente dem $ 105.000 og 27 Master of Pwn-point. De vil ikke sige nøjagtigt, hvor lang tid undersøgelsen tog dem, men kodedemonstrationen behøvede kun 90 sekunder.

Dernæst var Richard Zhu (fluorescens) målrettet mod Microsoft Edge med en eskalering på SYSTEM-niveau. Selvom hans første forsøg mislykkedes, udnyttede hans andet forsøg to separate brug-efter-frie (UAF) bugs i Microsoft Edge og eskalerede derefter til SYSTEM ved hjælp af et bufferoverløb i Windows-kernen. Dette fik ham $ 55.000 og 14 point mod Master of Pwn.

Tencent Security fik også $ 100.000 til den anden flugt fra VMware Workstation. ZDI forklarede:

Den sidste begivenhed for både dagen og konkurrencen havde Tencent Security - Team Sniper (Keen Lab og PC Mgr), der var målrettet mod VMWare Workstation (Guest-to-Host), og begivenheden sluttede bestemt ikke med et klynk. De brugte en tre-bug-kæde til at vinde kategorien Virtual Machine Escapes (Guest-to-Host) med en VMWare Workstation-udnyttelse. Dette involverede en Windows-kerne UAF, en Workstation infoleak og en uinitialiseret buffer i Workstation til at gå gæst-til-vært. Denne kategori ratcheterede vanskeligheden endnu længere, fordi VMware Tools ikke blev installeret i gæsten.

Selvom Pwn2Own-konkurrencen mangler en retfærdig metode til at angribe alle browsere i lige høj grad, har Microsoft naturligvis stadig en lang vej at gå for at forbedre Edges sikkerhed.