Nel PwnFest 2016 scovate falle di sicurezza in Microsoft Edge e VMWare

Nel PwnFest 2016 scovate falle di sicurezza in Microsoft Edge e VMWare

Il PwnFest è una conferenza/festival sudcoreana di hacker White Hat, o hacker etici, che collaborano con le software house per evidenziare le falle di sicurezza e risolverle prima che qualche altro hacker (Black Hat) ne abusi a fini illeciti.
L’evento si svolge in due giornate, in cui i team si impegnano a scovare ed mostrare hack ed exploit per determinati software. Il programma del primo giorno dell’edizione 2016, che è stato ieri, prevedeva un test su Microsoft Edge e VMWare Workstation, mentre oggi sarà la volta di Flash, Safari e Google Pixel.

Sia Edge che VMWare sono stati compromessi totalmente per due volte di seguito da team diversi. Edge ha richiesto un po’ di lavoro aggiuntivo all’ultimo momento, a causa dell’ultimo Patch Tuesday, che ha chiuso tre delle quattro vulnerabilità sfruttate dall’exploit. Il team, composto da dipendenti della società di antivirus cinese Qihoo 360, ha impiegato 30 ore per adattare la procedura.

Il secondo exploit, scritto dall’hacker sudcoreano Junghoon “Lokihardt” Lee, ha impiegato appena 18 secondi per agire. Anche se c’è da dire che i tempi di ricerca sono molto più lunghi, infatti si pensi che il team di Qihoo 360, per esempio, ha impiegato sei mesi per mettere a punto l’exploit per VMWare, il primo funzionante, che sfrutta a catena tre vulnerabilità.

Le ricompense donate ai team di hacker e tecnici, dalle stesse società dei software messi alla prova, sono state molto generose: 120.000 dollari base più 20.000 extra da Microsoft, 150.000 da VMWare.

I dettagli emersi da queste prove sono sempre molto importanti per le società proprietarie dei software, ed infatti solo ora Microsoft e VMWare, potranno correggere la falle con patch future. VMWare ha già rilasciato una dichiarazione sul proprio sito ufficiale, secondo cui è già al lavoro per risolvere il problema, che riguarda solo VMWare Workstation e Fusion. Microsoft al momento non ha ancora rilasciato dichiarazioni ufficiali, ma possiamo aspettarci un contenuto analogo.