Il Pwn2Own 2024, un’importante competizione di hacking tenutasi a Vancouver, ha portato alla ribalta diverse vulnerabilità su molteplici servizi. Tra i principali bersagli figuravano i browser Chrome, Edge e Firefox, con i ricercatori di sicurezza partecipanti che sono riusciti a sfruttare con successo diverse vulnerabilità, dimostrando la loro capacità di eseguire codice remoto con i browser target per compromettere eventualmente i sistemi degli utenti.
Una delle falle 0-day più critiche è stata identificata in WebAssembly, uno standard aperto utilizzato da Chrome ed Edge, ed è riconosciuta come CVE-2024-2887. Manfred Paul ha mostrato questa vulnerabilità “type confusion” durante il primo giorno della competizione, ottenendo la possibilità di eseguire codice da remoto su entrambi i browser.
Chrome e Firefox, risolte le vulnerabilità scoperte al Pwn2Own di Vancouver
Un’altra grave minaccia è stata rappresentata da una falla nell’API WebCodecs, utilizzata per la codifica e decodifica di contenuti audio e video. Seunghyun Lee del KAIST Hacking Lab ha sfruttato questa falla di tipo use-after-free (CVE-2024-2886) per eseguire letture e scritture arbitrarie sui sistemi interessati. La stessa falla può essere sfruttata, come ha dimostrato Lee, anche per eseguire codice da remoto utilizzando un single exploit. Anche in questo caso la vulnerabilità riguarda sia Google Chrome sia Edge di Microsoft.
Nell’aggiornamento di questa settimana, rilasciato con la versione 123.0.6312.86/.87 per Windows e macOS e 123.0.6312.86 per Linux, Google ha corretto complessivamente sette vulnerabilità sul browser Chrome, fra cui le due 0-day menzionate. Neanche Firefox, fra i browser citati, è rimasto immune durante il Pwn2Own di Vancouver: lo stesso Manfred Paul ha infatti sfruttato con successo due zero-day sul browser di Mozilla durante la competizione. Se da una parte Google ha reagito molto velocemente impiegando cinque giorni per correggere le falle scoperte su Chrome, dall’altra Mozilla ha agito ancor più rapidamente, risolvendo i problemi di Firefox in circa un giorno.
Il Pwn2Own 2024 ha visto i ricercatori di sicurezza guadagnare complessivamente 1.132.500 dollari per aver dimostrato 29 exploit zero-day ed exploit chain. Manfred Paul si è distinto come vincitore dell’anno, portando a casa 202.500 dollari in premi.