Une équipe de chercheurs en sécurité de la société française de tests d'intrusion VUPEN a réussi à exploiter une faille zero-day dans le navigateur Safari d'Apple pour remporter le défi de hacker Pwn2Own de cette année.
Chaouki Bekrar, co-fondateur de VUPEN (à droite), a attiré un MacBook cible vers un site Web spécialement truqué et a réussi à lancer une calculatrice sur la machine compromise.
La machine piratée exécutait une version entièrement corrigée de Mac OS X (64 bits).
Dans une interview avec ZDNet, Bekrar a déclaré que la vulnérabilité existe dans WebKit, le moteur de rendu du navigateur open source. Une équipe de trois chercheurs a passé environ deux semaines pour trouver la vulnérabilité (à l'aide de fuzzers) et écrire un exploit fiable.
VUPEN a remporté un prix en espèces de 15 000 $ et un Apple MacBook Air 13" exécutant Mac OS X Snow Leopard.
Bekrar a déclaré que l'exploit Safari était "quelque peu difficile" en raison du manque de documentation concernant l'exploitation de Mac OS X 64 bits. "Nous avons dû tout refaire à partir de zéro. Nous avons dû créer un outil de débogage, créer le shellcode et créer la technique ROP (programmation orientée retour)", a-t-il expliqué.
"La principale difficulté était de faire cela nous-mêmes, sans l'aide d'aucun document", a-t-il déclaré.
[ VOIR: Pwn2Own 2011: Apple abandonne d'énormes correctifs pour Safari et iOS ]
Il a déclaré que la création d'un exploit fiable était « beaucoup plus difficile » que la recherche de la vulnérabilité.
"Il existe de nombreuses vulnérabilités WebKit. Vous pouvez exécuter un fuzzer et obtenir de nombreux bons résultats. Mais il est beaucoup plus difficile de l'exploiter sur x64 et de rendre votre exploit très fiable", a-t-il déclaré.
L'exploit gagnant de Bekrar n'a même pas fait planter le navigateur après l'exploitation. Cinq secondes après avoir surfé sur le site truqué, il a lancé avec succès l'application de calculatrice et a écrit un fichier sur le disque sans faire planter le navigateur.
[ VOIR: Pwn2Own 2011: IE8 sur Windows 7 piraté avec 3 vulnérabilités ]
L'exploit a contourné ASLR (Address Space Layout Randomization) et DEP (Data Execution Prevention), deux principales mesures d'atténuation anti-exploit intégrées à Mac OS X.
"La victime visite une page Web, elle en devient propriétaire. Aucune autre interaction n'est nécessaire.
Bekrar a déclaré que VUPEN prévoit de lancer Internet Explorer 8 sur Windows 7 (SP1) 64 bits plus tard dans le concours.