Le versioni di Safari e Internet Explorer 8 con tutte le patch sono state entrambe hackerate con successo al Pwn2Own, il concorso annuale di hacking tenutosi nell'ambito della conferenza sulla sicurezza CanSecWest. Se un ricercatore può avere il browser, cioè far girare il codice arbitrario, arriva poi a possedere l'hardware del browser su cui viene eseguito. Quest'anno, non solo non hanno eseguito codice arbitrario, ma sono anche riusciti a passare qualunque ambiente sandbox-limitato con accesso ridotto ai dati e il sistema operativo.
Il primo a cadere in cinque secondi, è stato Safari 5.0.3 su fully-patched Mac OS X 10.6.6. VUPEN società di sicurezza francese è stata la prima ad attaccare il browser, e cinque secondi dopo che il browser ha visitato la sua pagina web maligna appositamente predisposta, aveva lanciato l'applicazione della piattaforma (un carico standard innocuo per dimostrare che il codice arbitrario è stato eseguito) e ha scritto un file sul disco rigido (per dimostrare che la sandbox è stato bypassata).
Parlando successivamente, Chaouki Bekrar co-fondatore di VUPEN, ha detto che l'exploit è stato piuttosto difficile da tirare fuori e non perché il WebKit, motore di rendering che è al centro di entrambi i Safari e Chrome, è privo di vulnerabilità. Piuttosto, lo sfruttamento è stato complicato dal fatto che le tecniche che sfruttano i 64-bit di Safari non sono ampiamente documentate.
Le tecniche che i ricercatori hanno utilizzato per aggirare le protezioni del sistema operativo come il Data Execution Prevention (DEP) e Address Space Layout Randomization (ASLR) sono ben note, ma l'uso specifico e l'adattamento di queste tecniche sui 64-bit di Safari è raro e gli strumenti richiesti in via di sviluppo e il codice di attacco creato da zero.
Secondo le regole del concorso, tutti i dettagli degli attacchi Pwn2Own, comprese le tecniche di bypass, non verranno pubblicati fino a quando i venditori non avranno rilasciato le patch. Bekrar ha detto che in totale, un team di tre ricercatori hanno impiegato due settimane per montare con successo l'exploit. Storicamente, la concorrenza ha richiesto ai concorrenti di utilizzare la versione più recente del sistema operativo e browser. Forse consapevole di questo, Apple ha rilasciato Safari 5.0.4 un giorno prima del concorso, le patch applicate hanno tappato circa 60 buchi di sicurezza nel browser.
Tuttavia, quest'anno le regole sono state modificate: la configurazione è stata congelata una settimana fa, avviando la competizione in Safari 5.0.3. Secondo le nuove regole, bisogna avere successo nella versione congelata. Tuttavia, per ricevere un premio in denaro (in aggiunta agli hardware), il difetto deve esistere anche nella nuova release. Nel caso di VUPEN, la squadra avrà vinto sia l'hardware che il denaro.
Nonostante la patch dell'ultimo minuto di Apple, l'attacco funziona ancora. E' stato battuto anche Internet Explorer 8 con Windows 7 Service Pack 1 a 32 e 64 bit, dal ricercatore di sicurezza Stephen Fewer di Harmony Security. Proprio come con Safari, è stato il primo concorrente ad attaccare il browser, e proprio come con Safari a sfruttarlo con successo.
Ciò è stato dimostrato dalla calcolatrice di Windows in esecuzione del programma e la scrittura di un file sul disco rigido. Fewer dice che il successo dell'attacco ha sfruttato tre vulnerabilità distinte: due per ottenere l'esecuzione con successo di codice all'interno del browser, e poi una terza per sfuggire all'Internet Explorer Protected Mode sandbox. Fewer ha messo insieme l'attacco che ha avuto successo in 5-6 settimane. Microsoft, a differenza di Apple, ha scelto di non includere le patch in Internet Explorer negli eventi Patch di Martedì della scorsa settimana.
Il terzo browser in programma da testare è stato Chrome, che non è stato attaccato con successo. Tuttavia, il concorrente che ha tentato l'attacco non ha mostrato, in che modo il browser rimane imbattuto. Una possibile ragione di questo è che Google ha pubblicato un aggiornamento di Chrome, con la chiusura di almeno 24 falle di sicurezza. I premi nel test di Chrome erano diversi dagli altri, con il peggiore hardware (un portatile Cr-48 ChromeOS) e un premio in denaro disponibile maggiore ($ 20.000 invece di $ 15.000). Il potenziale aggressore di Chrome potrebbe aver sfruttato uno dei difetti patchati questa settimana, e potrebbe aver perso interesse una volta che il denaro non è stato più disponibile.
Il tempo necessario per sviluppare gli exploit di lavoro dimostra che le protezioni che operano a livello di sistema come il DEP e ASLR sono strumenti utili. Trovare falle di sicurezza nel browser è una cosa, trasformarlo in un attacco utile che riesce a far breccia nei dati dei moderni sistemi è un'altra. Ma anche se i meccanismi di protezione rendono più difficoltoso il lavoro per sfruttare i difetti, sono chiaramente non impermeabili. L'attaccante motivato troverà il modo, di passare attraverso la protezione.
Nessun commento:
Posta un commento