Mais um ano e mais uma edição do popular evento Pwn2Own. Durante três dias de competição feroz os participantes tentaram encontrar e explorar bugs nos principais browsers em troca de prémios monetários.
Este ano o principal derrotado foi o Microsoft Edge.
O Microsoft Edge é hoje o principal browser da Microsoft depois desta quase abandonar o IE. Segundo a empresa, este browser é mais seguro que a concorrência mas, no evento Pwn2Own 2017 o Edge foi simplesmente o browser mais “hackeado”.
Logo no primeiro dia da competição, a equipa Team Ether da Tencent Security conseguiu explorar uma vulnerabilidade ao nível do Chakra, o mecanismo JavaScript utilizado pelo Microsoft Edge. Além disso foi também explorado um bug que permite contornar o mecanismo de sandbox do browser. Esta equipa levou para casa US$ 80.000.
Dia 1
No segundo dia o browser da Microsoft foi atacado por várias equipas. Uma dessas equipas foi desclassificada por apresentar um bug que já era conhecido (Apenas vulnerabilidades zero-day são consideradas). A equipa Tencent Security (Team Lance) explorou uma nova vulnerabilidade ao nível do Chakra e descobriu também bug no kernel do Windows que permite obter privilégios do sistema. Pelo feito, a equipa recebeu um prémio de US$ 55.000.
A equipa Team Sniper, pertencente à Tencent Security, também recebeu um prémio de US$ 55.000 por conseguir explorar o browser ao nível do Chakra e também ao nível do Kernel do sistema, mas com outras técnicas.
Dia 2
Mas foi no terceiro dia que foi conseguido algo impressionante. A equipa da Qihoo 360 conseguiu mostrar algo inédito ao explorar uma vulnerabilidade no Microsoft Edge que permite contornar as limitações impostas por uma máquina virtual VMware Workstation e assim executar código no sistema nativo onde a máquina virtual está a correr.
We used a JavaScript engine bug within Microsoft Edge to achieve the code execution inside the Edge sandbox, and we used a Windows 10 kernel bug to escape from it and fully compromise the guest machine. Then we exploited a hardware simulation bug within VMware to escape from the guest operating system to the host one. All started from and only by a controlled a website
Zheng Zheng, Diretor executivo da Qihoo 360
A segurança das máquinas virtual é fundamental no sentido em que a informação presente numa máquina virtual não pode ser acedida por outra, quando executadas num mesmo servidor físico. Isto significa que, mesmo que uma máquina virtual seja atacada, tal acesso não pode servir para o atacante conseguir chegar a outras máquinas virtuais ou até mesmo ao sistema operativo da máquina física.
Um dos principais objetivos de um hypervisor, como o VMware Workstation, é isolar o sistema operativo convidado, que é executado dentro da VM, do sistema operativo host onde o hypervisor é executado. Daí esta vulnerabilidade que agora foi descoberta ter sido premiada com o maior valor (US$ 105.000).
Richard Zhu explorou uma vulnerabilidade no browser e uma no kernel do Windows e com isso recebeu um prémio de US$ 55.000.
Dia 3
Chrome, Safari e Firefox
Relativamente à concorrência do Edge, o Chrome foi o que consegui melhores resultados uma vez que ninguém o conseguiu atacar dentro do tempo limite. O Safari foi explorado algumas vezes, tendo as equipas conseguido acesso root ao macOS e também explorar privilégios do sistema. Relativamente ao Firefox, foram realizadas duas tentativas de exploração mas apenas uma teve sucesso. De referir que em 2016 o Firefox não foi um dos alvos por ser considerado “demasiado simples de atacar”.