La Trend Micro Zero Day Initiative (ZDI) è una competizione che incoraggia la scoperta responsabile delle vulnerabilità zero-day ricompensando economicamente i ricercatori esterni che le scoprono. Le vulnerabilità vengono scoperte anche attraverso contest come il Pwn2Own, incoraggiano la scoperta delle vulnerabilità attraverso il programma, evitando così che vengano vendute nei mercati underground per scopi malevoli. Nel corso del contest Pwn2Own di quest’anno, un ricercatore ha cercato di mostrare due exploit di Safari, riuscendo nel tentativo con uno di questi.
Samuel Groß del gruppo phoenhex ha “hackerato” Safari sfruttando una catena di tre bug con i quali è riuscito a ottenere il cosiddetto “privilege escalation”, in pratica un livello di accesso al sistema più alto, riuscendo a modificare un testo visualizzato sulla touchbar di un MacBook Pro, ottenendo la ricompensa di 65.000$ prevista e sei punti per l’ambito titolo di “Master of Pwn”.
Il tentativo di sfruttare un diverso exploit, scrive AppleInsider, era stato fatto da Richard Zhu riuscendo a bypassare i protocolli di sicurezza di iPhone 7 sfruttando due bug di Safari nel corso dell’evento Mobile Pwn2Own di novembre. Al Pwn2Own 2018, Zhu non è riuscito a mostrare la possibilità di bypassare la sandbox di sistema nei 30 minuti previsti. Zhu è ad ogni modo riuscito a prendere di mira Microsoft Edge individuando una vulnerabilità nel meccanismo di ‘levazione dei privilegi (EOP) nel kernel di Windows, sfruttando nello specifico un bug nell’autenticazione senza password (nota come UAF) e un overflow aritmetico nel kernel.
Un compagno della squadra phoenhex di Groß’s è riuscito ad ottenere accesso parziale a un sistema che aveva come target una macchina virtuale su Oracle VirtualBox.
L’iniziativa Pwn2Own è nata nel 2007 e da allora ha consentito di rendere noti vari bug che gli sviluppatori di sistemi operativi e applicazioni varie hanno puntualmente sistemato con le versioni successive dei loro software. Tra i partner di quest’anno ci sono Microsoft e VMWare che hanno offerto 2 milioni di dollari e altri premi per chi dimostra la possibilità di hack che hanno come target browser web, applicazioni enterprise e server. È anche prevista una Windows Insider Preview Challenge. Nei giorni seguenti saranno fatti nuove dimostrazioni e tentativi, incluso un exploit che consente l’EoP (Elevation of Privilege) nel kernel di macOS e la possibilità di aggirare la sua sandbox (il meccanismo che consente di eseguire applicazioni in uno spazio di memoria limitato).
