All’edizione 2012 dell’evento dedicato alla scoeprta delle vulnerabilità dei browser, il team francese ne mette in crisi due.
Chrome ed Explorer 9 sotto tiro in occasione della edizione 2012 di “Pwn2Own“, la manifestazione organizzata da TippingPoint che richiama hacker di tutto il mondo a misurare le proprie abilità tentando di “scardinare” tutti i principali browser web disponibili sul mercato.
Il primo primo prodotto a sventolare bandiera bianca è stato il browser del colosso di Mountain View.
L’attacco nei confronti di Chrome è stato messo a segno dai francesi di Vupen Security. Il CEO della società, Chaouki Bekrar, ha dichiarato che l’obiettivo dei tecnici era quello di “mostrare che anche Chrome non è inviolabile“.
Bekrar ha spiegato che i ricercatori di Vupen hanno usato una lacuna di sicurezza che ha permesso di scavalcare le protezioni DEP ed ASLR del sistema operativo e un’altra vulnerabilità per sottrarsi ai lacci della sandbox di Chrome.
DEP (“Data Execution Prevention“), lo ricordiamo, evita che codice malevole venga eseguito da aree di memoria marcate come aree dati (attacchi buffer overflow) mentre ASLR (“Address space layout randomization“) fa sì che gli eseguibili e le DLL possano essere caricate in differenti posizioni della memoria. Grazie all’impiego di ASLR, si evita quindi che una libreria possa essere caricata sempre nella stessa posizione scongiurando attacchi basati sulla conoscenza delle specifiche celle di memoria nelle quali avviene il caricamento.
Ecco alcuni nostri articoli dedicati alle funzionalità DEP e ASLR:
– Data Execution Prevention
– Address space layout randomization
I meccanismi di sandboxing, invece, permettono di chiudere in un recinto sicuro tutti gli elementi prelevati dalla rete Internet durante la navigazione sul web evitando che possano causare danni al resto del sistema.
“Le sandbox consentono di alzare notevolmente il livello di sicurezza“, aveva fatto presente, tempo fa, il noto ricercatore Dino Dai Zovi, “tanto che gli aggressori debbono orientarsi verso altre tipologie di attacco quali, ad esempio, la distribuzione di falsi programmi antivirus (rogue antivirus; ved. questa pagina e quest’articolo)”. Il problema, però, è quando un malintenzionato dovesse riuscire ad individuare una o più vulnerabilità grazie all’uso delle quali è possibile eludere le misure di protezione della sandbox, esattamente come ha fatto Vupen Security.
Sebbene non siano stati rilasciati dettagli sulla scoperta di Vupen, qualche esperto ha avanzato l’ipotesi che i ricercatori abbiano fatto leva sul plugin Adobe Flash Player, direttamente supportato da Chrome. Sebbene Chrome esegua il plugin all’interno della sandbox, il perimetro di sicurezza è – in questo caso – più “sfumato” dal momento che alcune funzionalità di base di Flash Player richiedono un’interazione a livello più basso, con la webcam ed il microfono ad esempio.
Si tratta della seconda vulnerabilità zero-day, sino ad oggi sconosciuta, che è stata usata dai ricercatori per aggredire il browser di Google. Un altro ricercatore, Sergey Glazunov, aveva ottenuto poche ore prima il premio speciale di 60.000 dollari da parte di Google per aver “scardinato” le misure di sicurezza di Chrome. La “falla” individuata da Glazunov, infatti, ha permesso di “dribblare” la sandbox all’interno della quale viene caricato tutto il codice presente nelle pagine web e di uscire quindi dal recinto imposto da Chrome. A fronte di una tale scoperta, Google aveva appunto messo sul piatto una ricompensa pari a 60.000 dollari.
Dopo Google Chrome, anche Internet Explorer 9 è stato oggetto di attacco. Protagonisti della nuova impresa ai danni del browser di Microsoft sono stati, ancora i francesi di Vupen Security che hanno “dribblato” due vulnerabilità di Windows 7 per eseguire codice dannoso e svincolarsi dalla modalità protetta all’interno della quale viene trattato, in Internet Explorer, tutto il codice contenuto nelle pagine web.
Internet Explorer gestisce i siti web via a via visitati impiegando quattro differenti aree o zone: Internet, Intranet locale, Siti attendibili e Siti con restrizioni. Tutti i siti web ospitati su server remoti vengono elaborati in Protected Mode (così come quelli “con restrizioni“). Gli altri (ad esempio quelli richiamati dalla rete locale o Intranet) non vengono gestiti all’interno di tale modalità.
Secondo gli organizzatori dell’evento Pwn2Own, la leadership conquistata dagli esperti di Vupen durante la gara sarebbe ormai imbattibile e potrebbe quindi fruttare alla società d’Oltralpe un premio pari a 60.000 dollari (al secondo ed al terzo classificato verranno invece riconosciuti, rispettivamente, 30.000 e 15.000 dollari).
