Firefox, Safari, Edge e Tesla hackerati al Pwn2Own 2019

Firefox, Safari, Edge e Tesla cadono preda all’hacking nella competizione Pwn2Own 2019 a Vancouver

Pwn2Own Vancouver 2019 sponsorizzato da Microsoft, VMware e Tesla si è svolto tra il 20 e il 22 marzo 2019 presso l’hotel Sheraton Wall Centre di Vancouver, Canada. L’evento ha visto hacker che hanno sfruttato con successo browser web come Firefox, Safari, Edge e persino il nuovo concorrente automobilistico, Tesla Model 3.

Per chi non lo sapesse, il concorso di hacking Pwn2Own è uno sforzo per promuovere il programma Zero Day Initiative (ZDI), progettato per premiare i ricercatori di sicurezza per sfruttare i dispositivi mobili, i browser web, i server di virtualizzazione, le applicazioni aziendali, Windows RDP più recenti e popolari e dimostrare e divulgare importanti vulnerabilità zero-day alle aziende tecnologiche. Dopo il concorso, i fornitori avranno 90 giorni per produrre patch per questi bug.

Giorno 1 al Pwn2Own Vancouver 2019 (Apple Safari)

All’inizio del primo giorno, Amat Cama e Richard Zhu del team Fluoroacetate hanno mirato con successo al browser Apple Safari utilizzando un bug nel JIT con un overflow di heap per uscire dalla sandbox. Questa tecnica di forza bruta ha guadagnato loro $55,000 e 5 punti Master of Pwn.

Oltre al team Fluoroacetate, il team phoenhex & qwerty ( @niklasb @qwertyoruiopz @bkth) ha anche sfruttato il browser Apple Safari con un’elevazione del kernel. Hanno utilizzato un bug JIT seguito da una lettura OOB (out-of-bounds) dell’heap, e poi hanno pivotato da root a kernel tramite un bug TOCTOU (Time-of-Check-Time-of-Use). Tuttavia, questo è stato considerato una vittoria parziale, poiché Apple era già a conoscenza di uno dei bug. Il team ha comunque vinto $45,000 e 4 punti Master of Pwn.

Giorno 2 al Pwn2Own Vancouver 2019 (Mozilla Firefox e Microsoft Edge)

Il secondo giorno al Pwn2Own Vancouver 2019 è iniziato con il team Fluoroacetate che ha preso di mira Mozilla Firefox con un’elevazione del kernel nella categoria browser web. Il team Fluoroacetate ha utilizzato un bug nel JIT insieme a una scrittura out-of-bounds nel kernel di Windows per prendere il controllo del sistema. Sono stati in grado di eseguire codice a livello di SYSTEM semplicemente visitando il loro sito web appositamente progettato, il che ha guadagnato loro $50,000 e 5 punti Master of Pwn.

Inoltre, il team Fluoroacetate ha anche preso di mira con successo Microsoft Edge aprendo il browser web da una VMware Workstation e poi navigando verso la loro pagina web appositamente creata. Il team ha utilizzato una combinazione di confusione di tipo in Edge, una condizione di gara nel kernel e infine, una scrittura out-of-bounds in VMware per passare da un browser in un client virtuale all’esecuzione di codice sul sistema operativo host. Questo hack ha guadagnato loro $130,000 e 13 punti Master of Pwn.

In un altro evento per sfruttare Mozilla Firefox, Niklas Baumstark (@_niklasb) ha sfruttato con successo il browser web utilizzando un bug JIT in Firefox seguito da un bug logico per l’uscita dalla sandbox. Questo hack gli ha guadagnato $40,000 e 4 punti Master of Pwn.

Il tentativo finale per il Giorno Due ha visto il debutto di Arthur Gerkis (@ax330d) di Exodus Intelligence che ha preso di mira Microsoft Edge. Ha utilizzato un doppio free nel render e un bug logico per bypassare la sandbox. Questo sforzo gli ha guadagnato $50,000 e 5 punti Master of Pwn.

Giorno 3 al Pwn2Own Vancouver 2019 (Tesla Model 3)

Il terzo giorno dell’evento, dedicato all’hacking automobilistico, ha visto il team Fluoroacetate sfruttare con successo il sistema di infotainment (Chromium) sulla Tesla Model 3 tramite il suo browser. Sono riusciti a visualizzare un messaggio sul browser web dell’auto sfruttando un bug JIT nel processo di rendering del browser. Il duo ha ricevuto una ricompensa di $35,000, insieme alla Tesla che hanno hackerato.

“Nei prossimi giorni rilasceremo un aggiornamento software che affronta questa ricerca,” ha dichiarato un portavoce di Tesla a ZDNet oggi riguardo alla vulnerabilità di Pwn2Own. “Comprendiamo che questa dimostrazione ha richiesto un’enorme quantità di sforzo e abilità, e ringraziamo questi ricercatori per il loro lavoro per aiutarci a garantire che le nostre auto siano le più sicure sulla strada oggi.”

Il team Fluoroacetate, con un totale di 36 punti e $375,000 USD in premi, ha vinto il titolo di ‘Master of Pwn’ per il 2019. Vale la pena notare che lo stesso team aveva vinto il titolo di ‘Master of Pwn’ per il 2018 a Tokyo l’anno scorso.

Tutti gli exploit e i bug mostrati al Pwn2Own sono stati segnalati ai fornitori, ai quali sono stati dati 90 giorni per rilasciare patch. I dettagli dei bug saranno resi pubblici dall’Iniziativa Zero Day (ZDI) di Trend Micro, il principale organizzatore dell’evento, dopo 90 giorni.

Fonte: ZDI