Pwn2Own 2018, giorno 2 (finale): sconfitti Firefox e 2 volte Safari

16 Marzo 2018 57

Nel secondo e ultimo giorno del Pwn2Own 2018, la manifestazione di hacker white hat organizzata dall'associazione Zero Day Initiative di TrendMicro, i ricercatori sono riusciti a oltrepassare i sistemi di sicurezza di Mozilla Firefox e (di nuovo) Apple Safari. TrendMicro ha potuto quindi "acquistare" nuovi bug, pagando altri 105.000 dollari complessivi ai partecipanti.

Richard Zhu, già protagonista ieri di un tentativo fallito contro Safari e uno andato a segno contro Edge, questa volta si è concentrato su Firefox, che è caduto al primo tentativo permettendo al ricercatore di ottenere il controllo completo del portatile Windows su cui il browser era installato. Zhu ha quindi guadagnato altri 50.000 dollari, e 5 ulteriori punti nella classifica Master of Pwn (un punto Master of PWN viene assegnato ogni 10.000 dollari di bug scoperti). In totale, Zhu si porta a casa ben 120.000 dollari.

Un trio di ricercatori di Ret2 Systems si è quindi concentrato su Apple Safari. L'exploit è andato a segno, ma purtroppo al quarto tentativo, uno di troppo rispetto al limite massimo imposto dal regolamento. I ricercatori non hanno così ricevuto un premio in denaro dal concorso, ma i bug sono comunque stati acquistati dalla Zero Day Initiative per essere rivelati agli sviluppatori Apple.

L'evento si è concluso con un altri team di tre ricercatori, questa volta da MWR Labs. Anche loro hanno preso di mira Safari, riuscendo a prendere il controllo del MacBook su cui era installato. A loro sono andati 55.000 dollari e 5 punti nella classifica Master of Pwn.

Richard Zhu si è quindi confermato re della classifica, e Master of Pwn 2018 con il doppio dei punti del secondo arrivato. Naturalmente tutti i ricercatori hanno potuto anche portarsi a casa i portatili che avevano pwned durante la competizione - Surface Book 2 e MacBook Pro, mica noccioline!

In totale, Pwn2Own 2018 ha portato 267.000 dollari agli hacker white hat che hanno partecipato. TrendMicro ha comperato 5 bug Apple, 4 bug Microsoft, 2 bug Oracle e 1 bug Mozilla, che rivenderà a sua volta ai rispettivi proprietari affinché li risolvano. Gli organizzatori osservano come i concorrenti siano diminuiti rispetto all'anno scorso, in contemporanea all'aumento della qualità degli exploit. Un segno che ottenere il completo controllo di un computer passando dal browser, e quindi aggirando le misure di sicurezza di browser e sistema operativo, è sempre più difficile. Girando la frase, i nostri sistemi sono sempre più sicuri.


57

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Kimo Timonen

No problem supergiovane ignorantello

Aniene

Bloccami. XD

Maledetto

Più che mercenari benefattori, potrebbero tranquillamente sfruttare queste falle o rivenderle per i fatti loro ai migliori offerenti, invece li rivendono ad aziende specializzate per migliorare la sicurezza

000

Si ma se sei uno che lavora al progetto di Google per la ricerca delle vulnerabilità di Chrome, andresti a farti pagare anche da un altro?...secondo me Google un po' si arrabbia!
Comunque il contest era incentrato sulla scalata di privilegi al kernel ed evasione dalle sandbox WMWare quindi era abbastanza indirizzato... Mi fa pensare che sia vero che è sponsorizzato da Microsoft e Wmware

Chirurgo Plastico

Perchè non rivendono i bug direttamente ad Apple o Microsoft?

Kimo Timonen

Come ti capisco! Pagine intere di simpaticoni bloccati!
Poss basta con ''sti XD sennò blocco pure te

ErCipolla

Nell'articolo il debugger è usato a scopo dimostrativo per far vedere "cosa sta succedendo", ovviamente in un attacco reale il punto di ingresso sarà uno script javascript o simile. Comunque si, se riesci a "bucare" un browser hai accesso SOLO alla memoria riservata al processo del browser. Questo è quello che si chiama un exploit dello user-space. Se poi vuoi leggere/scrivere la memoria del resto del sistema ti serve un'altra falla, questa volta nel sistema operativo stesso, da eseguire tramite il browser (di cui ora hai il controllo) e che permetta di accedere al resto del sistema. Questo tipo di falle, che penetrano nel cosiddetto "kernel-space", sono tipicamente molto più difficili da scovare e sfruttare. Se vuoi bucare un sistema nel suo intero ti servono entrambe (come si fa ad esempio per il jailbreak di iOS o per le recenti falle che permettono lo sblocco della ps4)

Dario · 753 a.C. .

Ma perché in questo articolo?

franky29

Non bucato forse?

Non si pubblicano i dati di Chrome chiaramente. Essendo il browser più usato si guadagna di più a non pubblicarlo ;)

Ah adesso ho capito! Grande, grazie 1000!!!!!
In pratica avviano il browser tramite un'altra applicazione. Infatti mi chiedevo come potevi accedere a quella memoria se l'unico a poterci accedere é il browser stesso.
Però se avvii un debugger e quel debugger avvia il browser, a quel punto il debugger ha accesso a tutta la memoria del browser ma non può modificarla... A meno che il browser non dica che non ha più bisogno di quella memoria.
E' qui che entra in gioco l'hacker. Scrive dentro la memoria di avviare tipo qualcosa del suo debugger. Il browser però poi riaccede a quella memoria, anche se non doveva e non poteva farlo, eseguendo poi il codice che ha inserito l'hacker.

Ho capito bene?

.wizard.

E Chrome?

]rY[

Se non è stato attaccato è perché non si è presentato nessuno che avesse pronto e/o scoperto un exploit o una vulnerabilità, altrimenti si sarebbe fatto avanti, visto anche il premio in soldi. Anche l'edizione di quest'anno del contest era aperta pure a chrome, quindi se nessuno si è fatto avanti o non ha voluto tentare penso che fosse per i motivi summenzionati, sempre che non vi sia un terzo giorno o altro (e comunque chrome è sempre stato quello che ne è uscito meglio/meno acciaccato rispetto a tutti gli altri concorrenti in tutte, o quasi, le edizioni di Pwn2Own).

MAD22

Come che c’entra?
Devo acquistare un brano in dollari e non vorrei pagarlo molto più del dovuto

Dario · 753 a.C. .

Ma che c'entra??

ErCipolla

Nell'esempio da te citato purtroppo non ci sono ancora i dettagli perché evidentemente non è ancora stata rilasciata pubblicamente la vulnerabilità (aspetteranno che sia fixata prima di rilasciarla)

Però dice che si tratta di un classico exploit "use-after-free", ovvero un bug (essendo un browser sarà un bug del motore di layout o del motore javascript) che permette di usare un puntatore (ovvero leggere/scrivere da una certa posizione in memoria) dopo che questa è stata liberata. In altre parole, è un bug che permette ad un attaccante di mantenere un riferimento a una posizione di memoria nonostante questa sia stata deallocata. Questo è molto pericoloso perché quella memoria presumibilmente verrà usata successivamente dal processo (il browser) per metterci dell'altro, e questo "dell'altro" può essere di tutto. Può essere un inutile frammento di un'immagine jpeg di un'altra pagina web come può essere l'entry point di una funzione nativa che esegue operazioni pericolose.

Esattamente COME viene utilizzata una vulnerabilità del genere è troppo lungo da dire qui, ti consiglio questo articolo che spiega passo-passo come sfruttare una vulnerabilità simile su IE: goo . gl / r8zVDT

Duraspark

Quoto!!

miccio

ben detto!

ErCipolla

Quelli sono i native plugins, che sono un colabrodo di vulnerabilità! Però se non sbaglio però le ultime versioni di Chrome non li supportano più (per fortuna)

haidak

Non è uscito indenne, non è stato attaccato che è diverso. Il premio era in palio anche per Chrome, con lo stesso valore assegnato a Edge.
Nelle edizioni precedenti è stato attaccato e ha resistito, qui non hanno portato attacchi a Chrome.

Ho cercato di capire un po' ma non riesco ad andare oltre...
In pratica molte vulnerabilità sono dovute e puntatori che poi possono essere riutilizzati per poi accedere a tutte le informazioni del browser.

Tipo Safari, basta creare un bottone su una pagina e poi eliminare il bottone. A quel punto si può accedere al bottone (che però non esiste più) e quindi scrivere nella memoria del browser. Ma come ci si scrive nella memoria del browser, se hai a disposizione solo Javascript e non C++?

Grazie :D
Comunque io non intendevo estensioni tipo Tampermonkey, intendevo i vari plugins che esistono per accedere alle periferie USB ecc...

Repox Ray

"ma quanto sono stup1di gli appassionati di tiro a segno, con le competenze che hanno farebbero molti più soldi a fare i killer a pagamento!"

P0rca miseria in effetti....

c0s87

Anche gli altri, questo è creato da trend micro, non è sponsorizzato da nessun produttore.

000

google ha il suo programma apposito

DeeoK

Ma non sono attacchi.
In quei casi non buchi il pc ma fai eseguire javascript per minare, cosa di per sè neanche illegale.

ice.man

mica tanto perchè i siti infettati perchè i pc dei visitatori facciano mining sono milioni

DeeoK

Ormai i commenti senza senso sul mining si sprecano.

000

credo per disinteresse, nel senso che forse google fa già la sua campagna di ricerca di vulnerabilità...quindi è meglio mangiare in 2 piatti...

ErCipolla

ha già resistito agli attacchi del pwn2own 2017, non vedo cosa ci sia di strano nel fatto che sia così anche quest'anno.

(a parte il fatto che va di moda spalare m€rda su chrome perché è il più diffuso, ma quello lascia il tempo che trova...)

Aniene

Se poi si fregiano di essere white hat un motivo ci sarà. Sarà per quello che la mia lista di account bloccati nell'ultimo periodo è aumentata a dismisura. Ormai leggo solo più "questo utente è bloccato" nei commenti. XD

ErCipolla

L'anno scorso c'era e non è stato bucato, quindi non sarebbe così strano se anche quest'anno fosse così.

Calcola che ai vari hacker lasciano libertà di scelta su che software tentare di attaccare, probabile che scelgano quelli che ritengono più vulnerabili (magari perché già conoscono anomalie preesistenti)

ErCipolla

Mah, veramente non capisco tutti sti commenti qua sotto (e nel topic di ieri) che danno dei fess1 a questi ricercatori, dicendo come potrebbero guadagnare di più vendendo le falle sul mercato nero.

Cioè, è come dire "ma quanto sono stup1di gli appassionati di tiro a segno, con le competenze che hanno farebbero molti più soldi a fare i killer a pagamento!"... cioè, mi vien solo da dire "per fortuna non tutti ragionano come voi", altrimenti saremmo messi male...

]rY[

Non è la primissima volta che chrome esce indenne dal Pwn2Own

freerider

Mi accodo anche io alle domande su chrome? La stranezza è che se fosse stato messo a disposizione per scoprire vulnerabilità e queste non sono state scoperte avrebbero messo in risalto la notizia ma, visto che non citano minimamente chrome, direi che non è stato messo "sotto attacco".

ErCipolla

Beh, le estensioni di Chrome sono fatte con lo stesso HTML/JavaScript che usano i normali siti web. La differenza è che possono accedere alle chrome API e ignorare certe limitazioni di privacy (esempio: possono leggere i Cookie e ignorare la Cross Origin Policy) ma se c'è una falla nel "motore" di Chrome (ripeto: FALLA, non un rilassamento volontario delle opzioni di sicurezza, come ad esempio concedere alle estensioni di accedere ai segnalibri o leggere i cookie) la si sfrutta indifferentemente da una estensione come da una pagina normale.

Comunque per quanto riguarda la tua domanda, se vai sul sito della ZDI:
zerodayinitiative com / advisories / published
puoi scegliere l'anno e cercare "Pwn2Own" (facendo CTRL-F nella pagina) e trovi la lista delle vulnerabilità trovate durante i vari concorsi.

ice.man

Google ha il suo canale dedicato per pagare la scoperta di bug

ice.man

oppure ci sono modi piu lucrosi per sfruttare queste competenze
vedi mining

Giulk since 71'

ah ah ah giusto xD

CAIO MARIOZ

I mercenari del terzo millennio

Sarebbe interessante capire cosa possono fare e cosa no...
Chrome sarebbe il più facile da bucare, se ti lasciano installare le estensioni :P Ma probabilmente non permettono di installare applicazioni. C'è un qualche documento magari dell'anno scorso per vedere cosa hanno fatto in particolare per riuscire ad accedere al sistema?

talme94

Deezloader reborn e hai tutta la libreria di deezer

Leox91

Chrome vincitore indiscusso, come al solito :)

Georgi Mihaylov

ecco perche chrome è meglio

Repox Ray

"Naturalmente tutti i ricercatori hanno potuto anche portarsi a casa i portatili che avevano pwned durante la competizione"

Eh tanto ne avevano preso il controllo comunque, a quel punto meglio lasciarglieli direttamente... XD

Carlo

si da per dato acquisito... :P

Scherzi a parte, boh, strano, me lo stavo chiedendo anch'io!

c0s87

"TrendMicro ha comperato 5 bug Apple, 4 bug Microsoft, 2 bug Oracle e 1 bug "
Forse chrome non se lo sono filato XD

xpy

Li vendono al mercato nero

xpy

Edge l'hanno bucato ieri se non sbaglio

SONICCO

Edge e Chrome com'erano messi invece?

DJI Mavic Mini ufficiale: pesa solo 249 grammi, prezzi da 399 euro

Recensione PowerBeats Pro: gli Apple AirPods per gli sportivi

Surface: tutte le novità presentate da Microsoft

Recensione Amazfit Verge Lite: ottimo smartwatch ma vale la pena comprarlo?