Nel corso della conferenza Pwn2Own dedicata alla sicurezza che si svolge a Vancouver, due team di hacker white-hat (termine per indicare gli hacker “etici, in altre parole ricercatori che lavorano in contrapposizione a chi viola illegalmente sistemi informatici), hanno individuato due vulnerabilità zero-day in Safari, una delle quali consentirebbe di controllare in remoto il Mac.
Il primo exploit (codice che sfrutta una vulnerabilità di un sistema permettendo l’esecuzione di codice malevolo, tipicamente allo scopo di acquisire i privilegi di amministratore della macchina), è in grado di aggirare la sandbox di macOS, la funzione del sistema operativo che fa in modo che ogni app resti sempre nei propri confini d’azione.
Il team denominato “Fluoroacetate” (Amat Cama e Richard Zhu) – ha preso di mira il browser Safari, individuando un exploit che consente di aggirare la Sandbox sfruttando una vulnerabilità di Integer overflow (errore che sfrutta peculiarità dell’aritmetica dei calcolatori effettuando operazioni troppo grandi perché siano rappresentati con una variabile intera) e Heap overflow (altra particolare condizioni di errore).
La prova ha richiesto quasi tutto il tempo a disposizione giacché sono stati sfruttati metodi di forza bruta per comprendere in che modo aggirare la sandbox, con il codice riavviato fino a individuare la soluzione. La dimostrazione ha permesso al team di guadagnare il premio di 50.000 dollari e ottenere 5 punti ai fini di vincere il “Master of Pwn”.
Il secondo exploit ha consentito di andare oltre, permettendo di ottenere sia i permessi di root, sia l’accesso al kernel. Gli hacker “white-hat” denominati phoenhex & il qwerty team hanno scelto Safari come target, riuscendo a ottenere l’elevazione dei privilegi che permette di effettuare operazioni a livello del kernel.
Grazie ad un sito web creato ad hoc è stato possibile sfruttare un bug nel JIT (compilatore just-in-time) e letture out-of-bound dell’heap che hanno consentito di ottenere i permessi di root e di accesso al kernel sfruttando un bug Time-of-Check-Time-of-Use (TOCTOU). I ricercatori hanno vinto solo in parte perché Apple era già a conoscenza di uno dei bug usati nella dimostrazione ma hanno ad ogni modo guadagnato 45.000 dollari e ottenuto 4 punti per il “Master of Pwn”.
L’evento in questione è ospitato da Trend Micro nell’ambito della cosiddetta “Zero Day Initiative” (ZDI), programma che incoraggia i ricercatori indipendenti a identificare vulnerabilità sconosciute su sistemi operativi e software di aziende quali Apple, Google e Samsung, e li ricompensa con premi in denaro. A questo indirizzo i dettagli delle due vulnerabilità
Rappresentanti di Apple nelle edizioni passate hanno partecipato alla competizione Pwn2Own; le vulnerabilità dimostrate sono state corrette nei giorni successivi. Le aziende hanno 90 giorni di tempo per risolvere i problemi individuati; passato questo tempo, le vulnerabilità vengono rese pubbliche.
A questo indirizzo trovate un nostro tutorial su come tenere al sicuro il Mac.
