Hackerwettbewerb Pwn2Own 2017: Lücken in Safari, Firefox, Edge, Windows und MacOS aufgedeckt
In den ersten beiden Tagen des Wettbewerbs Pwn2Own, der im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver stattfindet, haben Hacker zahlreiche Zero-Day-Lücken präsentiert. Sie stecken in den Browsern Edge, Safari und Firefox, Anwendungen wie Adobe Reader und Adobe Flash Player sowie in den Betriebssystemen wie Windows und Linux und MacOS. Für die Entdecker wurden Belohnungen bis zu 80.000 Dollar pro Sicherheitslücke ausgeschüttet.
Mitarbeiter von 360 Security zeigten auf der Konferenz einen Heap-Überlauf in der JPEG200-Komponente von Adobe Reader. Kombiniert mit zwei weiteren Bugs im Windows-Kernel gelang es ihnen, die vollständige Kontrolle über ein System zu übernehmen, was ihnen 50.000 Dollar einbrachte.
Den deutschen Sicherheitsforschern Samuel Groß und Niklas Baumstark vom Karlsruher Institut für Technologie (KIT) gelang es, durch Ausnutzung mehrere Lücken in Safari Root-Rechte für MacOS zu erhalten und eine Nachricht in der Touch Bar des neuen MacBook Pro zu hinterlassen. Ihre Belohnung belief sich auf 28.000 Dollar.
80.000 Dollar erhielten sich Mitarbeiter von Tencent Security für einen Fehler in der Chakra-Engine des Microsoft-Browsers Edge. Er erlaubte es ihnen, Schadcode außerhalb der Sandbox des Browsers auszuführen. Weitere 25.000 Dollar gingen an eine zweite Forschergruppe von Tencent Security, nachdem sie erfolgreich Schadcode in Adobe Reader eingeschleust und mithilfe eines Use-after-free-Bugs im Windows-Kernel mit Systemrechten ausgeführt hatte.
Chaitlin Security zeigte einen erfolgreichen Angriff auf Ubuntu Linux. Ein Heap Out-of-Bounds gewährte den Forschern Zugriff auf den Linux-Kernel, was Trend Micro, dem Veranstalter des Hackerwettbewerbs Pwn2Own, 15.000 Dollar wert war.
Ebenfalls Root-Rechte für MacOS sicherten sich Mitarbeiter von Chaitlin Security Research Lab. Sie kombinierten dafür sechs Schwachstellen in Safari und Windows Server. Ihre Arbeit wurde mit 35.000 Dollar belohnt. Ein weiterer Angriffsversuch auf Safari konnte dagegen nicht in der vorgeschriebenen Zeit abgeschlossen werden.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Am zweiten Tag gingen Mitarbeiter von 360 Security und Tencent Security jeweils erfolgreich gegen Adobe Flash Player vor. In beiden Fällen konnte Schadcode mit Systemrechten ausgeführt werden, was jeweils eine Prämie von 40.000 Dollar einbrachte. Forscher von Tencent Security präsentierten zudem zwei weitere erfolgreiche Angriffe auf Microsoft Edge, eine Attacke auf Windows und eine Root-Lücke in MacOS, an der erneut der Apple-Browser Safari beteiligt war.
Auch Mitarbeiter von 360 Security sicherten sich weitere Preisgelder, indem sie erfolgreiche Angriffe auf MacOS und Safari demonstrierten. Der Mozilla-Browser Firefox fiel zudem Mitarbeitern von Chaitlin Security zum Opfer, die darüber hinaus auch einen Kernel-Bug in MacOS vorführten. Einen Angriff auf Firefox konnte der Hamburger Sicherheitsforscher Moritz Jodelt von Blue Frost Security nicht in der erlaubten Zeit abschließen.
Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.
Für heute sind Vorführungen zu zwei weiteren Sicherheitslücken in Microsoft Edge angekündigt. Zudem wollen Forscher zwei Guest-to-Host-Angriffe vorführen, bei denen Schadcode aus einer virtuellen Maschine heraus auf dem Host-Betriebssystem ausgeführt wird. Da dies als besonders schwierig angesehen wird, hat Trend Micros Zero Day Initiative für diese Art von Bugs ein Preisgeld von 100.000 Dollar ausgelobt.