Hacker brechen aus Sandbox und virtueller Maschine aus

Auf der kanadischen Sicherheitskonferenz CanSecWest findet seit Jahren ein Hacker-Wettbewerb namens Pwn2Own statt, im Rahmen dessen Hacker versuchen, aktuelle Systeme mit bisher unbekannten Sicherheitslücken zu übernehmen. Ausrichter und Sponsor dieser Zero Day Initiative ist die Sicherheitsfirma Trend Micro. Wenig überraschend musste praktisch jedes aktuelle Betriebssystem mal dran glauben: Windows, macOS und die Linux-Distribution Ubuntu ebenso wie die Browser Edge, Safari und Firefox; das Plugin Flash sowieso. Dabei stehen Teams im Wettstreit zueinander. Wer eine bestimmte Aufgabe – sprich: einen Hack – bewerkstelligt, erhält Punkte und am Ende womöglich ein Preisgeld. Der Preisgeldtopf ist mit insgesamt über 1 Mio. US-Dollar gut gefüllt.

Dem Team Qihoo 360 gelang dabei so etwas wie der Heilige Gral. Nicht nur, dass es gelang, aus der Sandbox eines Browsers auszubrechen, man schaffte es sogar, aus einem virtualisierten Gastystem heraus das Hostsystem zu übernehmen. Das ist insofern alarmierend, als dass in heutigen Serverlandschaften oft unzählige VMs gemeinsam auf einem Host laufen. Forensiker nutzen VMs sogar, um in ihnen Malware, Viren und anderes digitales Ungeziefer zu testen und verlassen sich darauf, dass alles, was in der VM geschieht, auch dort bleibt. Allerdings kann man sich darauf offenbar nicht mehr verlassen, wie dieser in der Praxis vollzogene Hack zeigt.

Das Team von Qihoo 360 reihte die Ausnutzung von gleich drei Sicherheitslücken aneinander. Im Browser Edge ermöglichte ein Heap Overflow in der Javascript-Engine, Code zur Ausführung zu bringen; der Klassiker. Mittels eines Bugs im Windows-10-Kernel (Type Confusion) schafften es die Hacker aus der Edge-Sandbox heraus. In einem letzten Schritt nutzten die Hacker einen Bug in VMWare, genauer gesagt einen Uninitialized Buffer, um die Hürde zum Hostsystem zu überwinden. Das Resultat war ein vollständiger Ausbruch aus dem virtuellen Gastsystem, was dem Team ein Preisgeld von 105.000 US-Dollar einbrachte.

Der Coup ist umso bemerkenswerter, da es den Teams nicht gestattet ist, alte, bereits bekannte Sicherheitslücken auszunutzen, zum Beispiel indem bereits veröffentlichte Patches nicht eingespielt werden. Nein, die Teams müssen neue Sicherheitslücken finden, ansonsten werden sie disqualifiziert. Die Zero Day Initiative geht mit den identifizierten Lücken äußerst diskret um. So werden zuerst einmal die Hersteller informiert, damit diese die Möglichkeit haben, darauf zu reagieren, ehe die Lücken öffentlich gemacht werden – so geschehen z.B. mit Mozilla Firefox 52.0.1.

Das zeigt einmal mehr, wie wichtig es ist, insbesondere im Web mit aktueller Software unterwegs zu sein. Wenn es Hackern gelingt, selbst auf einem komplett durchgepatchten System Schadcode zur Ausführung zu bringen, kann man in etwa erahnen, welch geringe Hürde es darstellt, wenn Schadcode auf ein System mit bereits bekannten Sicherheitslücken trifft.

Quelle: ArsTechnica