samedi 2 avril 2011

Pwn2Own

Pwn2Own 2011 : Apple, victime de son succès ?

par Christophe Laporte le 14.03.2011 à 15:43
Pwn2Own : Internet Explorer et Safari piratés, Chrome résiste encore

Pendant trois jours, les hackers et chercheurs en sécurité se sont succédé pour faire tomber les principaux navigateurs web du marché sur les principaux ordinateurs et smartphones. Le bilan n'est pas flatteur pour Apple à première vue : Safari sur Mac est tombé dès le premier jour et Safari Mobile a connu les mêmes déboires le lendemain..


En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).

De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire :Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).

Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.

Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.

Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais on peut se demander si les personnes participant à ce concours ne se sont pas dirigées vers les solutions les plus en vue afin de se faire remarquer. En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons. De là à dire que les chercheurs en sécurité tout comme les auteurs de virus et autres malwares sélectionnent leurs plates-formes…


Concours de hacking Pwn2own : Internet Explorer et Safari au tapis

Le premier jour du célèbre concours de piratage des navigateurs Web a été fatal aux navigateurs d'Apple et de Microsoft. Google Chrome n'a pas pu être vaincu, faute de combattants.

Publié le 10/03/2011

En savoir plus

Chapeau ! Il n'aura fallu que quelques secondes pour prendre le contrôle d'un Mac via Safari à Chaouki Bekrar, expert en sécurité et aussi co-fondateur du fournisseur français de solution de sécurité Vupen lors du fameux concours Pwn2own, dont la 6e édition se tient à la Conférence CanSecWest.

Mac vaincu en 5 secondes


La démonstration a quelque chose de terrifiant : un simple passage du navigateur d'Apple sur une page Web malicieuse a pu mettre à genou un OS X 10.6.6 (64bits). L'exécution du code arbitraire a consisté à ouvrir la calculatrice qui a ensuite écrit un fichier sur le disque dur, le tout sans faire planter Safari (5.0.3).

La faille 0 Day exploitée se trouve en fait dans le WebKit, le moteur de rendu Open Source du navigateur. Quatre chercheurs et deux semaines de préparation (faites notamment de fuzzing) avaient néanmoins été nécessaires pour préparer l'attaque. Son exploit aura donc contourné l'ASLR (Address Space Layout Randomization) et le DEP (Data Execution Prevention), deux mesures- clés anti exploit intégrées à Mac OS X (et aux dernières versions de Windows).

Un simple clic sur un lien aura été fatal aux navigateurs et OS d'Apple et Microsoft

Vulnérabilités WebKit

Chaouki Bekrar a qualifié la préparation "d'assez difficile" en raison del'absence de documentation concernant les Mac OS X 64-bits. "Nous avons dû tout faire et partir de zéro. Nous avons dû créer un outil de débogage, créer leshellcode et créer la technique de ROP pour l'éxécuter" a-t-il expliqué. "Il y a beaucoup de vulnérabilités WebKit. Il suffit d'exécuter un fuzzer pour obtenir de nombreux bons résultats. Mais c'est beaucoup plus difficile de l'exploiter sur x64 et d'écrire un exploit viable", a commenté Chaouki Bekrar.

En guise de récompense, Chaouki Bekrar a gagné 15 000 dollars et... un MacBook Air 13 pouces fonctionnant sous Mac OS X Snow Leopard.

Trois 0 day pour agenouiller Windows 7 via Internet Explorer 8

Internet Explorer, version 8, n'a pas résisté bien plus longtemps face à l'expert irlandais Stephen Fewer, développeur pour Metasploit et aussi salarié d'un fournisseur de solution de sécurité, Harmony Security. Il aura néanmoins exploiter trois vulnérabilités zero-day pour exécuter du code sur Windows 7 (SP1, 64 bits).

C'est la faille pour sortir du bac à sable du mode protégé d'IE qui lui a donné le plus de fil à retordre. Il n'existe en effet qu'un seul document publié sur un exploit de ce type, et Stephen Fewer a dû trouvé une nouvelle façon de controurner cette protection.

Les détails techniques de l'attaque seront gardés secrets jusqu'à ce que Microsoft publie un patch, a priori avant la fin du mois. L'attaque aura néanmoins aussi contourné avec succès DEP et ASLR. Là aussi, un simple clic sur un lien aura été fatal au navigateur : la page Web malicieuse, créée pendant le concours, a réussi à lancer l'application calculatrice avant d'écrire un fichier de par cette application. Six semaines de travail lui ont été nécessaires pour monter cette spectaculaire attaque.

Google gagne par forfait

A lire ailleurs

Contrairement à Mozilla et Google, Microsoft avait été le seul à ne pas mettre à jour son navigateur avant le concours. La mise à jour de Chrome a d'ailleurs sans doute empêcher l'exploit, pourtant prévu : le hacker qui devait exposer sa démonstration s'est en effet désisté. Il n'empochera donc pas les 20 000 dollars supplémentaire promis par Google, en plus des 15 000 offerts par le concours. C'est la deuxième année que Chrome est épargné, faute de participants

La suite du concours, qui se tient lors de la deuxième journée, doit mettre à l'épreuve Firefox, ainsi que des OS mobiles iPhone, BlackBerry, Android et Windows Phone 7. A priori, aucun ne devrait résister.

Aucun commentaire:

Enregistrer un commentaire