Každoroční konference CanSecWest security v rámci panelu pwn2own nabídla opět možnost odnést si hardware na kterém běží prohlížeč, pokud se vám povede dostat se z prohlížeče do operačního systému. Letos se jim nejen povedlo spustit nežádoucí kód, ale také se dostali ze sandboxu - omezeného prostředí s omezeným přístupem k datům a operačnímu systému.
První padlo Safari 5.0.3 s plně patchovaným systémem Mac OS X 10.6.6. Francouzská společnost VUPEN napadla prohlížeč a pět vteřin po té, co prohlížeč navštívil jejich speciálně upravenou stránku, byli jak schopni spustit kalkulačku (standardní bezpečná ukázka, že se povedlo spustit kód) a zapsat soubor na pevný disk (aby se demonstrovalo, že se obešel sandbox).
Spoluzakladatel společnosti VUPEN Chaouki Bekrar v rozhovoru prohlásil, že přijít s řešením bylo obtížné - a nikoliv proto, že WebKit, renderovací jádro, které je srdce Safari a Chrome by postrádalo chyby. Zneužití chyby bylo komplikováno faktem, že techniky pro zneužívání chyb na 64-bit Safari nejsou dobře zdokumentované. Techniky jak obejít systémovou ochranu jako Data Execution Prevention (DEP) a Address Space Layout Randomization (ASLR) jsou známé, ale specifické použití a adaptaci těchto technik na 64-bit Safari jsou neobvyklé a vyžadují vývojářské nástroje a útoční kód napsaný od začátku. Podle pravidel soutěže, podrobnosti o útoku, včetně technik nejsou publikovány, dokud dodavatel nevydá patch. Bekrar dále řekl, že tým tří lidí pracoval dva týdny na úspěšném hacknutí prohlížeče.
Historicky, soutěž vyžadovala, aby soutěžící použili nejnovější verzi prohlížeče a operačního systému. Možná právě kvůli tomu, Apple vypustil Safari 5.0.4 den před soutěží a opravil okolo 60ti bezpečnostních chyb v prohlížeči. Nicméně tento rok se změnila pravidla. Konfigurace byla uzamčena před týdnem, takže soutěžící se mohli nabourávat do Safari 5.0.3. Podle nových pravidel, potřebuje soutěžící úspěšně nabourat uzamčenou verzi. Nicméně, aby získal peněžitou odměnu (kromě hardware), chyby musí existovat také v nejnovějším vydání.
V případě VUPENu, tým vyhrál jak hardware tak peníze. I přes patch vydaný na poslední chvíli, se Apple nepodařilo zabránit útoku lidí z VUPENu.
Dalším prohlížečem, který nevydržel byl 32-bit Internet Explorer na 64-bit Windows 7 SP 1, který podlehl Stephenovi Fewerovi z Harmony Security. Stejně jako u Safari, první útok úspěšně demonstroval schopnost spustit kód spuštění kalkulačky a podařilo se mu také obejít sandbox, což demonstroval zápisem na disk. Fewer tvrdil, že úspěšné nabourání prohlížeče vyžadovalo využití tří chyb: dvě, aby se mohl spustit kód a třetí aby byl schopen se dostat ze Sandboxu. Sestavení celého útoku trvalo Fewerovi pět až šest týdnů.
Microsoft na rozdíl od Apple neaktualizoval IE na poslední chvíli.
Třetím prohlížečem, který měl být otestován měl být Chrome. Nicméně soutěžící, který se registroval k pokusu zaútočit na prohlížeč se neukázal, takže prohlížeč zůstal nepokořen. Jedním z možných důvodů může být to, že Google publikovat včera nový Google Chrome a opravil 24 bezpečnostních chyb. Ceny za Chrome se lišily od ostatních, horší hardware (ChromeOS Cr-48 laptop) a více peněz (20 000 místo 15 000). Je možné, že se Googlu podařilo opravit chybu, kterou chtěl soutěžící zneužít a soutěžící tak ztratil zájem.
Soutěž ukazuje, že ochrana operačního systému jako DEP či ASLR jsou velmi užitečnými nástroji. Nalezení bezpečnostní chyby v prohlížeči je jedna věc, ale zneužít ji je docela jiná. Avšak i přes ochranné mechanismy, které ztěžují práci při vytváření úspěšných útoků, není ochrana nedobytná. Motivovaný útočník může najít cestu přes bariéry operačního systému. Dny útoků, které byly nalezeny přes noc mohou být již za námi (tak tomu bylo v roce 2007, kdy se podařilo najít chybu v Safari během 5 hodin a dalších 4 hodin se přišlo na to, jak chybu zneužít)
Následující den se soutěžící pokoušeli nabourat do mobilních telefonů.
Odkazy z novinek:
