L’anno scorso Google Chrome era uscito vincitore dalla competizione “Pwn2Own“. Nel corso dell’edizione 2012 della manifestazione organizzata da TippingPoint (richiama hacker di tutto il mondo a misurare le proprie abilità tentando di “scardinare” tutti i principali browser web disponibili sul mercato) il browser del colosso di Mountain View è stato il primo prodotto a sventolare bandiera bianca.
L’attacco nei confronti di Chrome è stato messo a segno dai francesi di Vupen Security. Il CEO della società, Chaouki Bekrar, ha dichiarato che l’obiettivo dei tecnici era quello di “mostrare che anche Chrome non è inviolabile“.
Bekrar ha spiegato che i ricercatori di Vupen hanno usato una lacuna di sicurezza che ha permesso di scavalcare le protezioni DEP ed ASLR del sistema operativo e un’altra vulnerabilità per sottrarsi ai lacci della sandbox di Chrome.
DEP (“Data Execution Prevention“), lo ricordiamo, evita che codice malevole venga eseguito da aree di memoria marcate come aree dati (attacchi buffer overflow) mentre ASLR (“Address space layout randomization“) fa sì che gli eseguibili e le DLL possano essere caricate in differenti posizioni della memoria. Grazie all’impiego di ASLR, si evita quindi che una libreria possa essere caricata sempre nella stessa posizione scongiurando attacchi basati sulla conoscenza delle specifiche celle di memoria nelle quali avviene il caricamento.
Ecco alcuni nostri articoli dedicati alle funzionalità DEP e ASLR:
– Data Execution Prevention
– Address space layout randomization
I meccanismi di sandboxing, invece, permettono di chiudere in un recinto sicuro tutti gli elementi prelevati dalla rete Internet durante la navigazione sul web evitando che possano causare danni al resto del sistema.
“Le sandbox consentono di alzare notevolmente il livello di sicurezza“, aveva fatto presente, tempo fa, il noto ricercatore Dino Dai Zovi, “tanto che gli aggressori debbono orientarsi verso altre tipologie di attacco quali, ad esempio, la distribuzione di falsi programmi antivirus (rogue antivirus; ved. questa pagina e quest’articolo)”. Il problema, però, è quando un malintenzionato dovesse riuscire ad individuare una o più vulnerabilità grazie all’uso delle quali è possibile eludere le misure di protezione della sandbox, esattamente come ha fatto Vupen Security.
Sebbene non siano stati rilasciati dettagli sulla scoperta di Vupen, qualche esperto ha avanzato l’ipotesi che i ricercatori abbiano fatto leva sul plugin Adobe Flash Player, direttamente supportato da Chrome. Sebbene Chrome esegua il plugin all’interno della sandbox, il perimetro di sicurezza è – in questo caso – più “sfumato” dal momento che alcune funzionalità di base di Flash Player richiedono un’interazione a livello più basso, con la webcam ed il microfono ad esempio.
Si tratta della seconda vulnerabilità zero-day, sino ad oggi sconosciuta, che è stata usata dai ricercatori per aggredire il browser di Google. Un altro ricercatore, Sergey Glazunov, aveva ottenuto poche ore prima il premio speciale di 60.000 dollari da parte di Google per aver “scardinato” le misure di sicurezza di Chrome. La “falla” individuata da Glazunov, infatti, ha permesso di “dribblare” la sandbox all’interno della quale viene caricato tutto il codice presente nelle pagine web e di uscire quindi dal recinto imposto da Chrome. A fronte di una tale scoperta, Google aveva appunto messo sul piatto una ricompensa pari a 60.000 dollari (ved. questo nostro articolo).