Hackere gikk i Chrome-felle

Hemmelig kode avslørte metoden til Pwn2Own-deltakere.

Sikkerhetsselskapet VUPEN Security deltok i årets Pwn2Own-konkurranse og var tidlig ute med å kunngjøre at selskapet hadde greid å knekke alle de fire nettleserne som var med i konkurransen – Chrome, Firefox, Internet Explorer og Safari. En kunngjøring som etter hvert har blitt litt omdiskutert.

Det er knekkingen av Chrome som har fått mest oppmerksomhet, siden denne nettleseren aldri tidligere har blitt knekket i en Pwn2Own-konkurranse. I forrige uke ble den knekket flere ganger.

VUPEN skal ha knekket Chrome på fem minutter – riktignok med nulldagssårbarheter som selskapet kjente til fra før, og hevdet kort etter at bragden var utført, at den ble gjort ved å omgå både DEP/ASLR-mekanismene og ikke minst sandkassen til nettleseren.

Dette viser seg nå ikke å stemme helt.

I fjor demonstrerte VUPEN utnyttelse av sårbarhet i Chrome som selskapet også hevdet greide å omgå sandkassen i Chrome. Google mente på sin side at VUPEN egentlig hadde utnyttet en svakhet i Adobe Flash Player, som følger med Google Chrome. VUPEN nektet for dette.

For å unngå en lignende situasjon i år, skal Google ifølge ZDNet ha lagt inn en liten felle i den versjonen av Chrome som ble gitt ut kort tid før Pwn2Own gikk av stabelen.

Google har skal ha lagt til en beskyttelse spesielt for Flash i Chrome. Fellen gikk ut på at dersom noen utløste denne beskyttelsen, ble det generert en spesiell signatur – heksadesimalkoden 0xABAD1DEA, som kan lese som «a bad idea».

Denne koden ble oppdaget av en medlem av VUPEN-teamet og offentliggjort her. Dette tyder på Chrome ble utnyttet via Flash Player-delen, som leveres av Adobe, og ikke Googles egen kode.

Forskningssjef i VUPEN, Chaouki Bekrar, innrømmer mer eller mindre at dette er tilfellet, men sier likevel til ZDNet at angrepskoden fungerte i standardinstallasjonen av Chrome, slik at det faktum at det dreide seg om tredjepartskode, ikke har noen betydning.

En som derimot skal ha greid å omgå Chromes sandkasse, er en tenåring som bare er kjent som «Pinkie Pie». Han skal ha deltatt i Googles egen Pwnium-konkurranse, som ble arrangert parallelt med Pwn2Own. PinkiePie skal ha utnyttet tre ulike nulldagssårbarheter i Chrome for å unngå sandkassen. Detaljer om sårbarhetene er ikke offentliggjort, men de skal være knyttet til lasting av plugins og minnekorrumpering i GPU-prosesser.

Google kom allerede fredag med en sikkerhetsoppdatering til Chrome – den fjerde på en uke – som sårbarhetene PinkiePie utnyttet. Detaljer om sårbarhetene vil bli utgitt på et senere tidspunkt, når man kan anta at alle har oppdatert til en versjon av nettleseren hvor sårbarhetene ikke lenger finnes.

Under Pwn2Own ble Firefox også knekket flere ganger. I tillegg til VUPENs vellykkede forsøk, skal sikkerhetsekspertene Willem Pinckaers og Vincenzo Iozzo ha lykkes i å utnytte en nulldagssårbarhet i Firefox 10.0.2 til å utføre «drive-by download»-angrep. Ioozo skal ha funnet sårbarheten, mens Pinckaers skal ha skrevet den pålitelige angrepskoden på en dag.

Til ZDNet forteller de to at sårbarheten var av typen «use-after-free».

– Vi utløste den samme sårbarheten tre ganger. Vi brukte den først til å lekke noe informasjon, vi brukte den så til å lekke adressene til våre data. Og så brukte vi den samme sårbarheten en tredje gang til å kjøre koden.

Siden Firefox ikke har noen sandkasse, så anses den som enklere å utnytte enn nettlesere som har dette. Dette inkluderer Chrome og Internet Explorer, når den kjøres på Windows Vista og nyere.

Internet Explorer skal likevel ha blitt knekket av VUPEN, noe som er omtalt her.

Det er lite sannsynlig at disse sårbarhetene vil bli fjernet i sikkerhetsoppdateringene som Microsoft kommer med i morgen, siden det ikke er noe som tyder på at de allerede brukes i angrep.

Det er ventet at også Firefox 11 vil bli gitt ut i morgen. Om Mozilla ha rukket å fjerne Pwn2Own-sårbarhetene, er usikkert.

Apple Safari har vanligvis vært den første nettleseren til å bli knekket i Pwn2Own-konkurransen, men det var ikke tilfellet i år. Ifølge Pwn2Own-arrangørene skal ingen ha forsøkt å knekke Safari i år.

Et par sårbarheter har likevel blitt funnet i Safari i forrige uke, den polske sikkerhetsforskeren Krystian Kloskowski. Men ingen av sårbarhetene anses av sikkerhetsselskapet Secunia for å være veldig alvorlige.

    Les også:

Til toppen