Concours de hacking Pwn2own : Internet Explorer et Safari au tapis
Le premier jour du célèbre concours de piratage des navigateurs Web a été fatal aux navigateurs d'Apple et de Microsoft. Google Chrome n'a pas pu être vaincu, faute de combattants.
Chapeau ! Il n'aura fallu que quelques secondes pour prendre le contrôle d'un Mac via Safari à Chaouki Bekrar, expert en sécurité et aussi co-fondateur du fournisseur français de solution de sécurité Vupen lors du fameux concours Pwn2own, dont la 6e édition se tient à la Conférence CanSecWest.
Mac vaincu en 5 secondes
La démonstration de hacking a quelque chose de terrifiant : un simple passage du navigateur d'Apple sur une page Web malicieuse a pu mettre à genou un OS X 10.6.6 (64bits). L'exécution du code arbitraire a consisté à ouvrir la calculatrice qui a ensuite écrit un fichier sur le disque dur, le tout sans faire planter Safari (5.0.3).
La faille 0 Day exploitée se trouve en fait dans le WebKit, le moteur de rendu Open Source du navigateur. Quatre chercheurs et deux semaines de préparation (faites notamment de fuzzing) avaient néanmoins été nécessaires pour préparer l'attaque. Son exploit aura donc contourné l'ASLR (Address Space Layout Randomization) et le DEP (Data Execution Prevention), deux mesures- clés anti exploit intégrées à Mac OS X (et aux dernières versions de Windows).
Un simple clic sur un lien aura été fatal aux navigateurs et OS d'Apple et Microsoft
Vulnérabilités WebKit
Chaouki Bekrar a qualifié la préparation "d'assez difficile" en raison de l'absence de documentation concernant les Mac OS X 64-bits. "Nous avons dû tout faire et partir de zéro. Nous avons dû créer un outil de débogage, créer le shellcode et créer la technique de ROP pour l'éxécuter" a-t-il expliqué. "Il y a beaucoup de vulnérabilités WebKit. Il suffit d'exécuter un fuzzer pour obtenir de nombreux bons résultats. Mais c'est beaucoup plus difficile de l'exploiter sur x64 et d'écrire un exploit viable", a commenté Chaouki Bekrar.
En guise de récompense, Chaouki Bekrar a gagné 15 000 dollars et... un MacBook Air 13 pouces fonctionnant sous Mac OS X Snow Leopard.
Trois 0 day pour agenouiller Windows 7 via Internet Explorer 8
Internet Explorer, version 8, n'a pas résisté bien plus longtemps face à l'expert irlandais Stephen Fewer, développeur pour Metasploit et aussi salarié d'un fournisseur de solution de sécurité, Harmony Security. Il aura néanmoins exploiter trois vulnérabilités zero-day pour exécuter du code sur Windows 7 (SP1, 64 bits).
C'est la faille pour sortir du bac à sable du mode protégé d'IE qui lui a donné le plus de fil à retordre. Il n'existe en effet qu'un seul document publié sur un exploit de ce type, et Stephen Fewer a dû trouvé une nouvelle façon de controurner cette protection.
Les détails techniques de l'attaque seront gardés secrets jusqu'à ce que Microsoft publie un patch, a priori avant la fin du mois. L'attaque aura néanmoins aussi contourné avec succès DEP et ASLR. Là aussi, un simple clic sur un lien aura été fatal au navigateur : la page Web malicieuse, créée pendant le concours, a réussi à lancer l'application calculatrice avant d'écrire un fichier de par cette application. Six semaines de travail lui ont été nécessaires pour monter cette spectaculaire attaque.
Google gagne par forfait
Contrairement à Mozilla et Google, Microsoft avait été le seul à ne pas mettre à jour son navigateur avant le concours. La mise à jour de Chrome a d'ailleurs sans doute empêcher l'exploit, pourtant prévu : le hacker qui devait exposer sa démonstration s'est en effet désisté. Il n'empochera donc pas les 20 000 dollars supplémentaire promis par Google, en plus des 15 000 offerts par le concours. C'est la deuxième année que Chrome est épargné, faute de participants
La suite du concours, qui se tient lors de la deuxième journée, doit mettre à l'épreuve Firefox, ainsi que des OS mobiles iPhone, BlackBerry, Android et Windows Phone 7. A priori, aucun ne devrait résister.