Hackerwettbewerb: Chinesische Hacker finden Zero Days in Chrome und Edge

Etliche Zero-Day-Exploits in verschiedenen Softwareprojekten sind im Rahmen des Hackerwettbewerbs TianfuCup gezeigt worden, der chinesischen Version von Pwn2Own. Insgesamt gewannen die Hacker mehrere 100.000 US-Dollar.

Artikel veröffentlicht am ,
Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken.
Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken. (Bild: TianfuCup)

Im Rahmen des chinesischen Hackerwettbewerbs TianfuCup ist eine Reihe von Sicherheitslücken aufgedeckt worden. Neben den Browsern Chrome, Edge und Safari konnten die Hacker Office 365, den Adobe Reader sowie die kerneleigene Virtualisierungslösung KVM/QEMU unter Ubuntu angreifen. Herausstechen konnte vor allem das Team 360Vulcan, das mit einer beachtlichen Zahl an Zero Days, also bis dato unbekannten Sicherheitslücken, aufwartete. Das Team gehört zur Sicherheitsfirma Qihoo360, die in der Vergangenheit selbst mit Sicherheitsproblemen zu kämpfen hatte. Zuerst hatten die Onlinemagazine Fossbytes und ZDnet über den Wettbewerb berichtet.

Stellenmarkt
  1. Softwareentwickler (m/w/d) Innovatives Printmanagement
    Württembergische Gemeinde-Versicherung a.G., Stuttgart
  2. Senior Projektleiter - IT Betrieb (m/w/d)
    Radeberger Gruppe KG, Frankfurt am Main
Detailsuche

Chinesische Sicherheitsforscher führten auf dem Hackerwettbewerb etliche Zero-Day-Sicherheitslücken in verschiedenen Softwareprodukten vor. Der Wettbewerb ist die chinesische Variante von Pwn2Own, bei dem Anfang des Jahres unter anderem das Infotainmentsystem des Tesla Model 3 gehackt wurde. Chinesische Hacker feierten auf dem Pwn2Own-Wettbewerb bis 2017 etliche Erfolge. Im vergangenen Jahr untersagte die chinesische Regierung ihnen jedoch die Teilnahme auf Hackerkonferenzen im Ausland und damit an Pwn2Own. Noch im selben Jahr wurde der erste TianfuCup veranstaltet.

Ziel der Hackerkonferenzen ist die Übernahme von Apps und Programmen über bisher nicht bekannte Sicherheitslücken (Zero Days). Gleich drei Exploits für Microsofts Browser Edge in der alten, auf EdgeHTML basierenden Variante wurden auf dem zweitägigen TianfuCup vorgeführt. Mit diesen konnte Schadcode eingeschleust und ausgeführt sowie teilweise aus der Sandbox ausgebrochen werden. Auch Googles Chrome-Browser wurde von zwei Teams gehackt, Apples Safari traf es ein Mal. Beim Safari-Hack sei das Team allerdings nur teilweise erfolgreich gewesen, wie die Veranstalter schreiben. Über ein präpariertes RTF-Dokument im Edge-Browser konnten Angreifer zudem die Sicherheitsmechanismen von Microsofts Office 365 aushebeln.

Es wurden jedoch nicht nur Sicherheitslücken in Browsern gefunden. Einem Team gelang es, aus einer virtuellen Maschine auf KVM-Qemu-Basis unter Ubuntu auszubrechen und Schadcode auf dem Hostsystem auszuführen. Hinzu kamen Sicherheitslücken in Adobes PDF Reader sowie dem D-Link-Router DIR-878. Laut dem Veranstalter sollen alle im Rahmen des Wettbewerbs verwendeten Sicherheitslücken an die Hersteller gemeldet werden, damit diese behoben werden können.

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    06./07.10.2022, Virtuell
Weitere IT-Trainings

Mit einem Bonus von 382.500 US-Dollar gewann das Team 360Vulcan der chinesischen Sicherheitsfirma Qihoo360 den Wettbewerb. Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen, sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Smartwatch
Öffnen der Apple Watch Ultra trotz Schrauben riskant

Die Apple Watch Ultra verfügt über vier Schrauben auf der Unterseite. Nutzer sollten sie nicht lösen, um die Uhr nicht zu zerstören.

Smartwatch: Öffnen der Apple Watch Ultra trotz Schrauben riskant
Artikel
  1. Gegen Amazon und Co.: Frankreich führt Mindestgebühren für Buchbestellungen ein
    Gegen Amazon und Co.
    Frankreich führt Mindestgebühren für Buchbestellungen ein

    Mit einer Mindestliefergebühr will Frankreich kleinere Geschäfte vor großen Onlinehändlern wie Amazon schützen.

  2. Gen.Travel: Volkswagen zeigt autonomes Elektroauto mit Betten
    Gen.Travel
    Volkswagen zeigt autonomes Elektroauto mit Betten

    VW hat eine Autostudie vorgestellt, in der niemand mehr fahren muss. Stattdessen kann gearbeitet, geschlafen oder gefreizeitet werden.

  3. E-Commerce und Open Banking: Big-Tech-Konzerne drängen in den Finanzsektor
    E-Commerce und Open Banking
    Big-Tech-Konzerne drängen in den Finanzsektor

    Open Banking sollte Innovationen fördern. Stattdessen nutzen Amazon, Apple und Google es dazu, ihre Marktmacht auszubauen.
    Eine Analyse von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Gaming-Hardware uvm. • Crucial P2 1 TB 67,90€ • ViewSonic VX2719-PC FHD/240 Hz 179,90€ • MindStar (u. a. MSI MAG Z690 Tomahawk 219€ + $20 Steam) • Apple AirPods 2. Gen 105€ • Alternate (u. a. Chieftec GDP-750C-RGB 71,89€) • Logitech G Pro Gaming Keyboard 77,90€ [Werbung]
    •  /