Hackerwettbewerb: Chinesische Hacker finden Zero Days in Chrome und Edge

Im Rahmen des chinesischen Hackerwettbewerbs TianfuCup ist eine Reihe von Sicherheitslücken aufgedeckt worden. Neben den Browsern Chrome, Edge und Safari konnten die Hacker Office 365, den Adobe Reader sowie die kerneleigene Virtualisierungslösung KVM/QEMU unter Ubuntu angreifen. Herausstechen konnte vor allem das Team 360Vulcan, das mit einer beachtlichen Zahl an Zero Days, also bis dato unbekannten Sicherheitslücken, aufwartete. Das Team gehört zur Sicherheitsfirma Qihoo360, die in der Vergangenheit selbst mit Sicherheitsproblemen zu kämpfen hatte. Zuerst hatten die Onlinemagazine Fossbytes und ZDnet über den Wettbewerb berichtet.

Stellenmarkt

1. DRÄXLMAIER Group, Vilsbiburg bei Landshut
2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Chinesische Sicherheitsforscher führten auf dem Hackerwettbewerb etliche Zero-Day-Sicherheitslücken in verschiedenen Softwareprodukten vor. Der Wettbewerb ist die chinesische Variante von Pwn2Own, bei dem Anfang des Jahres unter anderem das Infotainmentsystem des Tesla Model 3 gehackt wurde. Chinesische Hacker feierten auf dem Pwn2Own-Wettbewerb bis 2017 etliche Erfolge. Im vergangenen Jahr untersagte die chinesische Regierung ihnen jedoch die Teilnahme auf Hackerkonferenzen im Ausland und damit an Pwn2Own. Noch im selben Jahr wurde der erste TianfuCup veranstaltet.

Ziel der Hackerkonferenzen ist die Übernahme von Apps und Programmen über bisher nicht bekannte Sicherheitslücken (Zero Days). Gleich drei Exploits für Microsofts Browser Edge in der alten, auf EdgeHTML basierenden Variante wurden auf dem zweitägigen TianfuCup vorgeführt. Mit diesen konnte Schadcode eingeschleust und ausgeführt sowie teilweise aus der Sandbox ausgebrochen werden. Auch Googles Chrome-Browser wurde von zwei Teams gehackt, Apples Safari traf es ein Mal. Beim Safari-Hack sei das Team allerdings nur teilweise erfolgreich gewesen, wie die Veranstalter schreiben. Über ein präpariertes RTF-Dokument im Edge-Browser konnten Angreifer zudem die Sicherheitsmechanismen von Microsofts Office 365 aushebeln.

Es wurden jedoch nicht nur Sicherheitslücken in Browsern gefunden. Einem Team gelang es, aus einer virtuellen Maschine auf KVM-Qemu-Basis unter Ubuntu auszubrechen und Schadcode auf dem Hostsystem auszuführen. Hinzu kamen Sicherheitslücken in Adobes PDF Reader sowie dem D-Link-Router DIR-878. Laut dem Veranstalter sollen alle im Rahmen des Wettbewerbs verwendeten Sicherheitslücken an die Hersteller gemeldet werden, damit diese behoben werden können.

Mit einem Bonus von 382.500 US-Dollar gewann das Team 360Vulcan der chinesischen Sicherheitsfirma Qihoo360 den Wettbewerb. Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen, sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.