Pwn2Own 2014: violati tutti i principali browser web.

[[Claudio]]

Tratto da un articolo di Michele Nasi ( IlSoftware.it ):

Durante la competizione, Firefox è stato il prodotto complessivamente più preso di mira con 4 attacchi andati a buon fine (esecuzione di codice potenzialmente dannoso ed acquisizione di privilegi più elevati).
Le misure di difesa di Internet Explorer e di Adobe Flash sono state superate in due diversi attacchi mentre quelle di Chrome, Safari ed Adobe Reader in una sola occasione.
Nel caso di Internet Explorer, Chrome, Safari, Adobe Flash ed Adobe Reader è stata violata la sandbox provocando l'esecuzione di codice arbitrario sul sistema in uso.
Il browser di Google è stato violato con successo anche una seconda volta ma i giudici di Pwn2Own hanno ritenuto non ratificare l'attacco perché, per bersagliare Chrome, era stato in parte utilizzato codice exploit già noto.

In definitiva, malgrado gli sforzi compiuti per migliorare la sicurezza dei diversi browser attraverso la implementazione di sistemi di protezione sandbox, tutti i browser (chi in misura maggiore, chi minore) continuano a essere esposti a vulnerabilità sfruttabili per veicolare attacchi, aggirando, anche, le protezioni sandbox native.

Una ragione di più:

1) per ricorrere a software di virtualizzazione browser come SANDBOXIE;

2) rinunciare, all'utilizzo di Internet Explorer (anche nella versione più recente) perché, per visualizzare correttamente contenuti web, richiede necessariamente l'installazione di software di terze parti continuamente esposti a vulnerabilità ampiamente sfruttate per veicolare malware (vedi Adobe Flash Player, Silverlight, Java e inoltre il lettore PDF Adobe Reader / Acrobat);

3) adottare, inoltre, soluzioni di PROTEZIONE EXPLOIT come MALWAREBYTES-ANTIEXPLOIT, oppure HITMANPRO.ALERT + CRYPTOGUARD.

[developerwinme]

Curioso che invece non sia stato assegnato il premio "Unicorn" ( http://www.pwn2own.com/2014/01/pwn2own- ... -unicorns/ ) per l'esecuzione di codice a livello di integrità di sistema mediante un bypass di IE11 su Win 8.1 x64 "fortificato" con EMET, che metteva in palio il premio più alto (150k $): sarebbe interessante sapere se si è rivelato troppo complesso, o se nessuno ci ha provato.

2) rinunciare, all'utilizzo di Internet Explorer (anche nella versione più recente) perché, per visualizzare correttamente contenuti web, richiede necessariamente l'installazione di software di terze parti continuamente esposti a vulnerabilità ampiamente sfruttate per veicolare malware (vedi Adobe Flash Player, Silverlight, Java e inoltre il lettore PDF Adobe Reader / Acrobat);

Java e Silverlight sono necessari anche ad altri browser per mostrare i relativi contenuti (e non offrono sandbox particolari o particolarmente robuste), il Flash Player utilizzato da IE su Windows 8 e 8.1 è protetto allo stesso modo del browser (con la relativa sandbox), ed in ogni caso non è un componente essenziale in molti casi visto il buon supporto ad HTML 5, e di lettori alternativi ad Adobe Reader "più sicuri" ce ne sono molti. Alla luce di questo, su Windows 8 e 8.1 (magari non su Windows 7 per via dell'assenza della sandbox su Flash), non vedo particolari differenze in ambito security tra IE e, per prendere il concorrente più quotato sotto questo punto di vista, Chrome

Detto questo, la competizione e i relativi risultati restano comunque interessanti ma oramai non dice più nulla di nuovo, considerato che, con le cifre in gioco (e quindi l'interesse da parte di esperti del settore), piuttosto sarebbe assurdo nessuno riuscisse a bucare ogni singolo browser.

[[Claudio]]

[quote="developerwinme"Java e Silverlight sono necessari anche ad altri browser per mostrare i relativi contenuti (e non offrono sandbox particolari o particolarmente robuste)[/quote]
Dire "necessari" secondo me è una "forzatura": io per esempio, sui miei computer non li ho installati (a parte che sono oramai pochi i siti web che li richiedono; per esempio, di vedere video su TGCOM - un sito web tra l'altro fatto con i piedi - mi interessa poco).

il Flash Player utilizzato da IE su Windows 8 e 8.1 è protetto allo stesso modo del browser (con la relativa sandbox), ed in ogni caso non è un componente essenziale in molti casi visto il buon supporto ad HTML 5, e di lettori alternativi ad Adobe Reader "più sicuri" ce ne sono molti. Alla luce di questo, su Windows 8 e 8.1 (magari non su Windows 7 per via dell'assenza della sandbox su Flash), non vedo particolari differenze in ambito security tra IE e, per prendere il concorrente più quotato sotto questo punto di vista, Chrome

Certo, a partire da Windows 8 il discorso è quello; ma se consideri la scarsa diffusione di Windows 8, è certamente più sicuro utilizzare browser che integrano nativamente Flash (e qui, Chrome non è in discussione); stesso discorso vale per Reader: Chrome ha un suo lettore PDF integrato, basta quindi impostare quel lettore come predefinito, per leggere anche OFF-LINE file PDF, senza la necessità di installare un software vulnerabile come quello prodotto da Adobe o altro software di terze parti.

Detto questo, la competizione e i relativi risultati restano comunque interessanti ma oramai non dice più nulla di nuovo, considerato che, con le cifre in gioco (e quindi l'interesse da parte di esperti del settore), piuttosto sarebbe assurdo nessuno riuscisse a bucare ogni singolo browser.

D'accordo con te, ma a ben vedere una novità c'è: se solo un paio di anni fa nessuno si "cimentava" con Chrome, oggi lo fanno; e il fatto che anche la sandobx di Chrome "abbia ceduto" è significativo; una ragione per cercare di far capire agli utenti che prevenire (adottando semplici strategie, come per esempio quelle che citavo nel mio post) è sempre meglio che dover curare.

Curioso che invece non sia stato assegnato il premio "Unicorn" ( http://www.pwn2own.com/2014/01/pwn2own- ... -unicorns/ ) per l'esecuzione di codice a livello di integrità di sistema mediante un bypass di IE11 su Win 8.1 x64 "fortificato" con EMET, che metteva in palio il premio più alto (150k $): sarebbe interessante sapere se si è rivelato troppo complesso, o se nessuno ci ha provato.

Dev, non ne sono sicuro, però mi sembra che quella vulnerabilità sia stata risolta attraverso il rilascio della nuova versione di EMET (quindi, prima del Pwn2Own).