Hackerwettbewerb: Chinesische Hacker finden Zero Days in Chrome und Edge

Etliche Zero-Day-Exploits in verschiedenen Softwareprojekten sind im Rahmen des Hackerwettbewerbs TianfuCup gezeigt worden, der chinesischen Version von Pwn2Own. Insgesamt gewannen die Hacker mehrere 100.000 US-Dollar.

Artikel veröffentlicht am ,
Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken.
Etliche Hacker-Teams gewannen Preise für die gefundenen Sicherheitslücken. (Bild: TianfuCup)

Im Rahmen des chinesischen Hackerwettbewerbs TianfuCup ist eine Reihe von Sicherheitslücken aufgedeckt worden. Neben den Browsern Chrome, Edge und Safari konnten die Hacker Office 365, den Adobe Reader sowie die kerneleigene Virtualisierungslösung KVM/QEMU unter Ubuntu angreifen. Herausstechen konnte vor allem das Team 360Vulcan, das mit einer beachtlichen Zahl an Zero Days, also bis dato unbekannten Sicherheitslücken, aufwartete. Das Team gehört zur Sicherheitsfirma Qihoo360, die in der Vergangenheit selbst mit Sicherheitsproblemen zu kämpfen hatte. Zuerst hatten die Onlinemagazine Fossbytes und ZDnet über den Wettbewerb berichtet.

Stellenmarkt
  1. Teamleiter (m/w/d) Informationsmanagement SAP BW & SAP Basis
    Radeberger Gruppe KG, Frankfurt am Main
  2. CRM-Manager (m/w/d)
    Limbach Gruppe SE, Heidelberg
Detailsuche

Chinesische Sicherheitsforscher führten auf dem Hackerwettbewerb etliche Zero-Day-Sicherheitslücken in verschiedenen Softwareprodukten vor. Der Wettbewerb ist die chinesische Variante von Pwn2Own, bei dem Anfang des Jahres unter anderem das Infotainmentsystem des Tesla Model 3 gehackt wurde. Chinesische Hacker feierten auf dem Pwn2Own-Wettbewerb bis 2017 etliche Erfolge. Im vergangenen Jahr untersagte die chinesische Regierung ihnen jedoch die Teilnahme auf Hackerkonferenzen im Ausland und damit an Pwn2Own. Noch im selben Jahr wurde der erste TianfuCup veranstaltet.

Ziel der Hackerkonferenzen ist die Übernahme von Apps und Programmen über bisher nicht bekannte Sicherheitslücken (Zero Days). Gleich drei Exploits für Microsofts Browser Edge in der alten, auf EdgeHTML basierenden Variante wurden auf dem zweitägigen TianfuCup vorgeführt. Mit diesen konnte Schadcode eingeschleust und ausgeführt sowie teilweise aus der Sandbox ausgebrochen werden. Auch Googles Chrome-Browser wurde von zwei Teams gehackt, Apples Safari traf es ein Mal. Beim Safari-Hack sei das Team allerdings nur teilweise erfolgreich gewesen, wie die Veranstalter schreiben. Über ein präpariertes RTF-Dokument im Edge-Browser konnten Angreifer zudem die Sicherheitsmechanismen von Microsofts Office 365 aushebeln.

Es wurden jedoch nicht nur Sicherheitslücken in Browsern gefunden. Einem Team gelang es, aus einer virtuellen Maschine auf KVM-Qemu-Basis unter Ubuntu auszubrechen und Schadcode auf dem Hostsystem auszuführen. Hinzu kamen Sicherheitslücken in Adobes PDF Reader sowie dem D-Link-Router DIR-878. Laut dem Veranstalter sollen alle im Rahmen des Wettbewerbs verwendeten Sicherheitslücken an die Hersteller gemeldet werden, damit diese behoben werden können.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. PowerShell Praxisworkshop
    20.-23. Dezember 2021, online
  3. Microsoft Teams effizient nutzen
    19. November 2021, online
Weitere IT-Trainings

Mit einem Bonus von 382.500 US-Dollar gewann das Team 360Vulcan der chinesischen Sicherheitsfirma Qihoo360 den Wettbewerb. Qihoo360 hatte in der Vergangenheit mit den beiden firmeneigenen TLS-Zertifizierungsstellen Wosign und Startcom für Schlagzeilen gesorgt. Mozilla und Google hatten den Zertifizierungsstellen das Vertrauen entzogen und warfen ihnen vor, die Browser-Community in die Irre geführt zu haben, statt aufgedeckte Schwachstellen adäquat zu beseitigen. Zudem hätten die Zertifizierungsstellen versucht, Beschränkungen der Browser bei SHA1-Zertifikaten zu umgehen, indem sie Zertifikate rückdatierten. Zeitweise war es zudem möglich, Zertifikate für Github.com auszustellen, sofern der Antragssteller Kontrolle über eine Subdomain von Github hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Das nächste große Update für Windows 10 kommt im November

Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

Microsoft: Das nächste große Update für Windows 10 kommt im November
Artikel
  1. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

  2. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  3. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /