Chrome, Firefox, IE 10, Adobe Reader und Java auf Pwn2Own-Wettbewerb gehackt

Der von HPs Zero Day Initiative (ZDI) veranstaltete Hackerwettbewerb Pwn2Own 2013 ist sehr erfolgreich gestartet – zumindest für die teilnehmenden Hacker. Bis Donnerstagnachmittag war bereits so ziemlich alles geknackt, was Rang und Namen hat: Chrome, Firefox, der Internet Explorer 10 unter Windows 8, der Adobe Reader 11 und – wenig überraschend – gleich vier mal Java. Einige der entdeckten Schwachstellen wurden bereits geschlossen. Der dreitägige Wettbewerb wird noch bis einschließlich am heutigen Freitag auf der Sicherheitskonferenz CanSecWest in Vancouver, British Columbia ausgetragen.

Die höchstmögliche Prämie von 100.000 US-Dollar haben zwei Teams kassiert: Zum Einen Vupen für das Knacken der aktuellen Internet-Explorer-Version 10 auf einem vollständig gepatchten Surface-Pro-Tablet mit Windows 8. Vupen erklärte via Twitter, dass hierzu zwei zuvor unbekannte Internet-Explorer-Lücken (Zero Day) nötig waren. Beim Aufruf einer speziell präparierten Webseite wurde Code auf dem Testsystem ausgeführt.

Das andere Team, das den Höchstbetrag einstreichen konnte, ist MWR Labs: Nils und Jon gelang sozusagen der Ausbruch aus Alcatraz – mit Hilfe einer präparierten Webseite überwanden sie die als zuverlässig geltende Chrome-Sandbox, um Code auf dem Windows-7-Testsystem auszuführen. Erwartungsgemäß war dies alles andere als trivial. Die Forscher schildern, dass sie zunächst mit einem Exploit Zero-Day-Lücken in Chrome ausnutzten.

Anschließend gelang es Ihnen, durch eine Lücke im Windows-Kernel aus der Chrome-Sandbox auszubrechen und Code mit Systemrechten zu starten. Besonders die Speicherverwürfelung (Adress Space Layout Randomization, ASLR) und die Datenausführungsverhinderung (Data Execution Prevention, DEP) haben es den Forschern schwer gemacht, einen zuverlässigen Exploit zu entwickeln, was aber aufgrund der Natur der Chrome-Lücke schließlich doch gelang. Sie konnten mit deren Hilfe die Speicheradressen einiger Windows-DLLs berechnen. Google hat bereits mit einem Chrome-Sicherheitsupdate reagiert (25.0.1364.160 m).

70.000 US-Dollar kassiert George Hotz dafür, dass er die Sandbox der aktuellen Adobe-Reader-Version 11 (XI) des Adobe Reader knackte. Die Veranstalter zitieren ihn mit den Worten: "Das Erste, was ich tat, war in die Sandbox einzubrechen. Das Nächste, was ich tat, war auszubrechen." Hotz (alias geohot) ist unter anderem durch seinen PlayStation-3-Hack – und den anschließenden Rechtsstreit mit Sony – bekannt.

Weitere 70.000 US-Dollar gingen an Vupen für ihren Flash-Exploit. Außerdem gelang ihnen auch noch ein erfolgreicher Angriff auf Firefox, wofür sie 60.000 US-Dollar kassierten. Die Mozilla-Entwickler beseitigten den Fehler in ihrem Firefox-Browser innerhalb von weniger als 24 Stunden, wie sie in einem Blog-Beitrag berichten. Die Korrekturen sind in den Firefox-Versionen 19.0.2, ESR-17.0.4, Thunderbird 17.0.4 und ESR-17.0.4 sowie SeaMonkey 2.16.1 enthalten. Alle Programme aktualisieren sich automatisch. Ursache für den Fehler (CVE-2013-0787) ist die Speicherverwaltung in der Komponente nsHTMLEditor. Offenbar wird dort Speicher benutzt, der bereits freigegeben wurde, was das Ausführen beliebigen Codes ermöglichen soll. nsHTMLEditor ermöglicht es, HTML-Seiten im Browser zu bearbeiten und war bereits in der Vergangenheit anfällig.

Das vergleichsweise geringe Preisgeld in Höhe von 20.000 US-Dollar lässt schon vermuten, dass es keine große Herausforderung ist, Java-Lücken zu finden und auszunutzen. Tatsächlich gelang das im Rahmen der Veranstaltung auch gleich viermal. Die Geldprämie bekommt allerdings nur der Erste – laut HPs Blogeintrag ist das offenbar James Forshaw.

Die ausgeschriebenen 65.000 US-Dollar für einen Angriff auf Apples Safari-Browser unter Mac OS X Mountain Lion hat sich bislang noch keiner abgeholt. Die Teilnahmeregeln besagen, dass die Sicherheitsexperten sämtliche Details zu den involvierten Schwachstellen an die Zero Day Initiative aushändigen müssen. Die ZDI gibt sie an die Hersteller der betroffenen Programme weiter. Ferner gehen die Exploits in den Besitz von HP über – dafür dürfen die Teilnehmer die von Ihnen gehackten Rechner behalten.

Update vom 09.03.2013, 12:15: Ein Leser hat uns darauf hingewiesen, dass die Veranstalter dieses Mal nicht nur für die jeweils ersten, sondern für alle erfolgreichen Hacks die ausgeschriebenen Geldprämien zahlen. Die Entwickler aller vier Java-Exploits können sich also über jeweils 20.000 US-Dollar freuen. (ck) / (rei)