Hacker brechen aus Sandbox und virtueller Maschine aus

Auf der kana­di­schen Sicher­heits­kon­fe­renz Can­Sec­West fin­det seit Jah­ren ein Hacker-Wett­be­werb namens Pwn2Own statt, im Rah­men des­sen Hacker ver­su­chen, aktu­el­le Sys­te­me mit bis­her unbe­kann­ten Sicher­heits­lü­cken zu über­neh­men. Aus­rich­ter und Spon­sor die­ser Zero Day Initia­ti­ve ist die Sicher­heits­fir­ma Trend Micro. Wenig über­ra­schend muss­te prak­tisch jedes aktu­el­le Betriebs­sys­tem mal dran glau­ben: Win­dows, macOS und die Linux-Dis­tri­bu­ti­on Ubun­tu eben­so wie die Brow­ser Edge, Safa­ri und Fire­fox; das Plug­in Flash sowie­so. Dabei ste­hen Teams im Wett­streit zuein­an­der. Wer eine bestimm­te Auf­ga­be – sprich: einen Hack – bewerk­stel­ligt, erhält Punk­te und am Ende womög­lich ein Preis­geld. Der Preis­geld­topf ist mit ins­ge­samt über 1 Mio. US-Dol­lar gut gefüllt.

Dem Team Qihoo 360 gelang dabei so etwas wie der Hei­li­ge Gral. Nicht nur, dass es gelang, aus der Sand­box eines Brow­sers aus­zu­bre­chen, man schaff­te es sogar, aus einem vir­tua­li­sier­ten Gas­tys­tem her­aus das Host­sys­tem zu über­neh­men. Das ist inso­fern alar­mie­rend, als dass in heu­ti­gen Ser­ver­land­schaf­ten oft unzäh­li­ge VMs gemein­sam auf einem Host lau­fen. Foren­si­ker nut­zen VMs sogar, um in ihnen Mal­wa­re, Viren und ande­res digi­ta­les Unge­zie­fer zu tes­ten und ver­las­sen sich dar­auf, dass alles, was in der VM geschieht, auch dort bleibt. Aller­dings kann man sich dar­auf offen­bar nicht mehr ver­las­sen, wie die­ser in der Pra­xis voll­zo­ge­ne Hack zeigt.

Das Team von Qihoo 360 reih­te die Aus­nut­zung von gleich drei Sicher­heits­lü­cken anein­an­der. Im Brow­ser Edge ermög­lich­te ein Heap Over­flow in der Java­script-Engi­ne, Code zur Aus­füh­rung zu brin­gen; der Klas­si­ker. Mit­tels eines Bugs im Win­dows-10-Ker­nel (Type Con­fu­si­on) schaff­ten es die Hacker aus der Edge-Sand­box her­aus. In einem letz­ten Schritt nutz­ten die Hacker einen Bug in VMWare, genau­er gesagt einen Unin­itia­li­zed Buf­fer, um die Hür­de zum Host­sys­tem zu über­win­den. Das Resul­tat war ein voll­stän­di­ger Aus­bruch aus dem vir­tu­el­len Gast­sys­tem, was dem Team ein Preis­geld von 105.000 US-Dol­lar ein­brach­te.

Der Coup ist umso bemer­kens­wer­ter, da es den Teams nicht gestat­tet ist, alte, bereits bekann­te Sicher­heits­lü­cken aus­zu­nut­zen, zum Bei­spiel indem bereits ver­öf­fent­lich­te Patches nicht ein­ge­spielt wer­den. Nein, die Teams müs­sen neue Sicher­heits­lü­cken fin­den, ansons­ten wer­den sie dis­qua­li­fi­ziert. Die Zero Day Initia­ti­ve geht mit den iden­ti­fi­zier­ten Lücken äußerst dis­kret um. So wer­den zuerst ein­mal die Her­stel­ler infor­miert, damit die­se die Mög­lich­keit haben, dar­auf zu reagie­ren, ehe die Lücken öffent­lich gemacht wer­den – so gesche­hen z.B. mit Mozil­la Fire­fox 52.0.1.

Das zeigt ein­mal mehr, wie wich­tig es ist, ins­be­son­de­re im Web mit aktu­el­ler Soft­ware unter­wegs zu sein. Wenn es Hackern gelingt, selbst auf einem kom­plett durch­ge­patch­ten Sys­tem Schad­code zur Aus­füh­rung zu brin­gen, kann man in etwa erah­nen, welch gerin­ge Hür­de es dar­stellt, wenn Schad­code auf ein Sys­tem mit bereits bekann­ten Sicher­heits­lü­cken trifft.

Quel­le: Ars­Tech­ni­ca