Chrome, Edge und Safari: Chinesischer Hackerwettbewerb deckt Zero-Day-Lücken auf
Mehrfach geknackt wurden unter anderem Microsoft Edge und Google Chrome. Aber auch Apple Safari fiel den Hackern zum Opfer. Die Forscher zeigen auch Schwachstellen in Adobe Reader. Die höchste Belohnung gibt es für einen erfolgreichen Angriff auf eine VMware-Maschine.
Beim Tianfu Cup, dem wichtigsten Hacker-Wettbewerb in China, haben chinesische Sicherheitsforscher Sicherheitslücken in zahlreichen weit verbreiteten Anwendungen entdeckt. Mehrfach geknackt wurden unter anderem Microsoft Edge und Google Chrome. Aber auch Apple Safari fiel den Hackern zum Opfer.
Gleich drei Teams präsentierten bereits am ersten Tag der zweitägigen Veranstaltung Schwachstellen in der Edge-Version mit Microsofts eigener Browser-Engine. Ihnen gelang jeweils das Einschleusen und Ausführen von Schadcode aus der Ferne. Zwei Teams konnten ihren Code zudem außerhalb der Sandbox ausführen, was ihnen jeweils eine Prämie von 55.000 Dollar einbrachte.
Google Chrome musste sich immerhin zwei Hackerteams beugen, die jeweils 20.000 Dollar kassierten. Zu den Bugs in Chrome machten die Veranstalter keine Angaben – die Höhe der Belohnung legt aber die Vermutung nahe, dass es sich nicht um einen Sandbox-Escape wie bei Chrome handelt.
Nur teilweise erfolgreich war offenbar ein Angriff auf Apple Safari. Er brachte dem Team aber dennoch 30.000 Dollar ein. Die Veranstalter belohnten indes eine weitere Attacke auf Office 365 mit 40.000 Dollar. Ein Hacker zeigte, wie sich die Sicherheitsfunktion ProtectionView zumindest teilweise mit einem per Edge heruntergeladenen RTF-Dokument umgehen lässt.
Der Adobe Reader wurde darüber hinaus am Samstag zweimal gehackt, um Schadcode einzuschleusen und auszuführen. Außerdem gelang es drei Teams unabhängig voneinander, einen D-Link-Router vom Typ DIR-878 aus der Ferne zu kontrollieren. Die höchste Belohnung des ersten Tags ging schließlich an ein Team von 360Vulcan, das erfolgreich eine virtuelle Maschine (QEMU.-KVM) verließ und beliebigen Code auf einem Ubuntu-Host ausführte – 80.000 Dollar war dem Veranstalter diese Schwachstelle wert.
Am heutigen zweiten Tag wurde der D-Link-Router DIR-878 weitere viermal gehackt. Zudem zeigten zwei Teams zwei weitere Anfälligkeiten in Adobe Reader. Für das größte Aufsehen sorgte allerdings erneute eine Virtualisierungssoftware. 24 Sekunden benötigte ein Team von 360Vulcan, um ein VMware-EXSi-Gastsystem zu verlassen und die Kontrolle über das Gastbetriebssystem zu übernehmen. Dafür schüttete der Veranstalter ein Preisgeld von 200.000 Dollar aus.
Damit kürten sich Forscher von 360Vulcan auch zum Sieger des Wettbewerbs. Sie verließen die Veranstaltung mit insgesamt 382.500 Dollar. Ein noch höheres Preisgeld verpassten sie, weil sie kurz vor Ende des Wettbewerbs ihre Präsentation eines iOS-Exploits absagen mussten.
Mitarbeiter von 360Vulcan und andere chinesische Hacker dominierten jahrelang den Hackerwettbewerb Pwn2Own. Anfang 2018 untersagte es die chinesische Regierung ihren Top-Hackern jedoch, an von ausländischen Unternehmen veranstalteten Wettbewerben teilzunehmen. Der darauf ausgerufene Tianfu Cup wurde erstmals im Herbst 2018 ausgetragen.