Pwn2Own, superate le difese di Safari, Firefox, Virtualbox e VMware

Anche quest’anno ha preso il via l’ormai celeberrima competizione Pwn2Own organizzata da ZDI (Zero Day Initiative). Si tratta di una gara tra hacker avente come fine ultimo quello di dare conto di nuove e importanti vulnerabilità sino ad oggi sconosciute nei principali software.
Gli organizzatori mettono in palio premi in denaro oltre a un’ambita Tesla Model 3: oltre alle sfide più tradizionali, ai partecipanti è stato chiesto di individuare falle di sicurezza nel software che sovrintende il funzionamento delle vetture elettriche progettate e prodotte dall’azienda di Elon Musk.

Durante il primo giorno di lavori gli esperti che si sono confrontati in quel di Vancouver (Canada) hanno concentrato la loro attenzione sui bug delle sandbox di browser come Apple Safari e di soluzioni per la virtualizzazione quali Virtualbox e VMware.

Nel caso di Safari è stata sfruttata una lacuna del compilatore just-in-time (JIT): provocando un errore di heap overflow è stato possibile superare i confini della sandbox.
Un secondo bug relativo a Safari non è stato pienamente convalidato perché uno dei bug sfruttati dai ricercatori era già noto ai tecnici di Apple: le potenzialità dell’aggressione, tuttavia, sono notevoli. Un malintenzionato può infatti sferrare un attacco a livello kernel e assumere il pieno controllo del sistema operativo.

Il “recinto” definito dal software per la virtualizzazione Virtualbox è stato invece superato ingenerando due errori che hanno permesso l’esecuzione di comandi sulla macchina ospitante (host): in questo caso, l’avvio della calcolatrice.
Un problema molto simile è stato individuato in VMware Workstation.

Nel secondo giorno della manifestazione Pwn2Own, i ricercatori sono riusciti a fare leva su un bug del compilatore JIT di Mozilla Firefox per prendere il completo controllo del sistema in uso. Gli studiosi sono stati in grado di eseguire codice arbitrario utilizzando privilegi SYSTEM semplicemente visitando con il browser Firefox una pagina web sviluppata “ad hoc”.

Gli stessi studiosi hanno sfruttato Microsoft Edge, in esecuzione all’interno di una macchina virtuale VMware Workstation, per eseguire codice arbitrario nel sistema host.

Vedremo nei prossimi giorni se qualche ricercatore sarà in grado di violare il software della Tesla Model 3 e, come premio finale, potrà portarsela a casa.