Pwn2Own 2017: bucati Windows 10 e Microsoft Edge

Nel corso del contest Pwn2Own 2017, organizzato a Vancouver, il team di sicurezza dell’azienda cinese Qihoo 360 ha sfruttato vulnerabilità di Windows 10, Microsoft Edge e VMWare Workstation per ottenere l’accesso al sistema operativo host. Questo strabiliante risultato ha permesso agli hacker di guadagnare 105.000 dollari. Altri partecipanti hanno superato le difese del browser, considerato uno dei software più sicuri. Sotto i colpi degli esperti sono caduti anche Adobe Flash e Reader, Apple macOS e Safari, Mozilla Firefox e Ubuntu Linux.

Le virtual machine (macchine virtuali) vengono solitamente utilizzate per isolare sistema operativo e dati dei singoli clienti in un servizio di hosting. VMWare Workstation è invece molto popolare tra gli utenti desktop che vogliono mantenere separato il sistema operativo host (quello in cui viene eseguita la virtual machine) dal sistema operativo guest (quello eseguito nella virtual machine). Ciò dovrebbe impedire ai contenuti infetti di passare dal secondo al primo, superando le difese della macchina virtuale. Il team Qihoo 360 ha invece dimostrato che nemmeno una virtual machine garantisce la massima sicurezza.

Le tecniche usate per accedere al sistema operativo host non sono state divulgate, in quanto le aziende che sviluppano i rispettivi software devono prima distribuire i relativi aggiornamenti. Gli hacker cinese hanno tuttavia spiegato i passi che hanno portato al risultato finale. Grazie ad un bug nel motore JavaScript di Microsoft Edge è stato possibile eseguire codice infetto nella sandbox del browser. Sfruttando un bug nel kernel di Windows 10 è stata quindi superata la difesa della sandbox e attaccato il sistema operativo guest. Infine, grazie ad un bug scoperto in VMware Workstation, gli hacker hanno avuto accesso al sistema operativo host.

Il team ha sicuramente impiegato diverse settimane per scoprire le tre vulnerabilità, ma la dimostrazione è durata appena 90 secondi. Considerata l’importanza del risultato, gli organizzatori del Pwn2Own 2017 hanno consegnato agli esperti cinesi un premio complessivo di 105.000 dollari.

Microsoft ha più volte consigliato di effettuare l’aggiornamento a Windows 10 per poter usufruire delle tecnologie di sicurezza più recenti, ma il contest di Vancouver dimostra che non esiste un software in grado di offrire la massima protezione, nemmeno una macchina virtuale.