Windows 10 viene hackerato (due volte) nel contest Pwn2Own

(Image credit: Future/Microsoft)

Nella competizione tra hacker Pwn2Own abbiamo assistito alla scoperta di varie vulnerabilità di sicurezza non solo in Windows 10, ma anche in macOS e Ubuntu, e il tutto si è svolto proprio il primo giorno dell'evento.

A causa dell'epidemia di coronavirus, il grande evento di hacking si è svolto in collegamento da remoto, invece di Vancouver dove avrebbe dovuto avere luogo, essendo parte integrante dell'evento sulla sicurezza CanSecWest. I partecipanti hanno potuto così preparare i loro strumenti in anticipo.

Per quanto riguarda i dettagli, Windows 10 è stato violato da Flourescence, sfruttando un bug "use-after-free" (danneggiamento della memoria) per ottenere privilegi di sistema intensificati, facendogli così guadagnare un premio di ben $ 40.000 (circa € 37.000).

È stato un doppio smacco per Windows 10 in quanto il sistema operativo di Microsoft è stato violato grazie ad un'altra vulnerabilità "use-after-free", dimostrata dal team Fluoroacetate, che ha guadagnato anch'esso un premio di $ 40.000 (circa € 37.000).

Se quel nome non vi risulta nuovo, è perché il team Fluoroacetate nella conferenza Pwn2Own dell'anno scorso, è riuscito a sfruttare una vulnerabilità nel browser dell'automobile Tesla, che gli ha fatto vincere una delle auto elettriche e molti premi in denaro del valore di $ 375.000 (circa € 346.509).

Scivolata per Safari

Per quanto riguarda invece MacOs, quest'ultimo è stato violato tramite il browser web Safari, con l'acquisizione dei privilegi di sistema raggiunti attraverso sei diverse vulnerabilità, con un conseguente premio di $ 70.000 (circa € 64.659).

Ed è stato il team RedRocket CTF che ha superato la sicurezza di Ubuntu con un exploit di escalation di privilegi locali tramite un bug di convalida dell'input nel kernel di Ubuntu, che gli ha permesso di guadagnare $ 30.000 (circa € 27.709).

Dopo il primo giorno sono stati 'bucati' altri software, tra cui Adobe Reader su Windows, VMWare Workstation e VirtualBox, tutti violati con successo.

L'idea, ovviamente, sarebbe quella di evidenziare queste falle di sicurezza in modo che gli sviluppatori possano quindi risolverle prima che vengano effettivamente sfruttate da malintenzionati.

E le piattaforme mobili? È interessante notare che questa volta non ci sono state vittorie da parte degli hacker contro i grandi sistemi operativi mobili, infatti Android e iOS sono usciti incolumi. Inoltre, quest'anno neanche Tesla è stata violata da nessun hacker.

Via Wccftech