Hacker brechen aus Sandbox und virtueller Maschine aus

Auf der kana짯di짯schen Sicher짯heits짯kon짯fe짯renz Can짯Sec짯West fin짯det seit Jah짯ren ein Hacker-Wett짯be짯werb namens Pwn2Own statt, im Rah짯men des짯sen Hacker ver짯su짯chen, aktu짯el짯le Sys짯te짯me mit bis짯her unbe짯kann짯ten Sicher짯heits짯l체짯cken zu 체ber짯neh짯men. Aus짯rich짯ter und Spon짯sor die짯ser Zero Day Initia짯ti짯ve ist die Sicher짯heits짯fir짯ma Trend Micro. Wenig 체ber짯ra짯schend muss짯te prak짯tisch jedes aktu짯el짯le Betriebs짯sys짯tem mal dran glau짯ben: Win짯dows, macOS und die Linux-Dis짯tri짯bu짯ti짯on Ubun짯tu eben짯so wie die Brow짯ser Edge, Safa짯ri und Fire짯fox; das Plug짯in Flash sowie짯so. Dabei ste짯hen Teams im Wett짯streit zuein짯an짯der. Wer eine bestimm짯te Auf짯ga짯be sprich: einen Hack bewerk짯stel짯ligt, erh채lt Punk짯te und am Ende wom철g짯lich ein Preis짯geld. Der Preis짯geld짯topf ist mit ins짯ge짯samt 체ber 1 Mio. US-Dol짯lar gut gef체llt.

Dem Team Qihoo 360 gelang dabei so etwas wie der Hei짯li짯ge Gral. Nicht nur, dass es gelang, aus der Sand짯box eines Brow짯sers aus짯zu짯bre짯chen, man schaff짯te es sogar, aus einem vir짯tua짯li짯sier짯ten Gastys짯tem her짯aus das Host짯sys짯tem zu 체ber짯neh짯men. Das ist inso짯fern alar짯mie짯rend, als dass in heu짯ti짯gen Ser짯ver짯land짯schaf짯ten oft unz채h짯li짯ge VMs gemein짯sam auf einem Host lau짯fen. Foren짯si짯ker nut짯zen VMs sogar, um in ihnen Mal짯wa짯re, Viren und ande짯res digi짯ta짯les Unge짯zie짯fer zu tes짯ten und ver짯las짯sen sich dar짯auf, dass alles, was in der VM geschieht, auch dort bleibt. Aller짯dings kann man sich dar짯auf offen짯bar nicht mehr ver짯las짯sen, wie die짯ser in der Pra짯xis voll짯zo짯ge짯ne Hack zeigt.

Das Team von Qihoo 360 reih짯te die Aus짯nut짯zung von gleich drei Sicher짯heits짯l체짯cken anein짯an짯der. Im Brow짯ser Edge erm철g짯lich짯te ein Heap Over짯flow in der Java짯script-Engi짯ne, Code zur Aus짯f체h짯rung zu brin짯gen; der Klas짯si짯ker. Mit짯tels eines Bugs im Win짯dows-10-Ker짯nel (Type Con짯fu짯si짯on) schaff짯ten es die Hacker aus der Edge-Sand짯box her짯aus. In einem letz짯ten Schritt nutz짯ten die Hacker einen Bug in VMWare, genau짯er gesagt einen Unin짯itia짯li짯zed Buf짯fer, um die H체r짯de zum Host짯sys짯tem zu 체ber짯win짯den. Das Resul짯tat war ein voll짯st채n짯di짯ger Aus짯bruch aus dem vir짯tu짯el짯len Gast짯sys짯tem, was dem Team ein Preis짯geld von 105.000 US-Dol짯lar einbrachte.

Der Coup ist umso bemer짯kens짯wer짯ter, da es den Teams nicht gestat짯tet ist, alte, bereits bekann짯te Sicher짯heits짯l체짯cken aus짯zu짯nut짯zen, zum Bei짯spiel indem bereits ver짯철f짯fent짯lich짯te Patches nicht ein짯ge짯spielt wer짯den. Nein, die Teams m체s짯sen neue Sicher짯heits짯l체짯cken fin짯den, ansons짯ten wer짯den sie dis짯qua짯li짯fi짯ziert. Die Zero Day Initia짯ti짯ve geht mit den iden짯ti짯fi짯zier짯ten L체cken 채u횩erst dis짯kret um. So wer짯den zuerst ein짯mal die Her짯stel짯ler infor짯miert, damit die짯se die M철g짯lich짯keit haben, dar짯auf zu reagie짯ren, ehe die L체cken 철ffent짯lich gemacht wer짯den so gesche짯hen z.B. mit Mozil짯la Fire짯fox 52.0.1.

Das zeigt ein짯mal mehr, wie wich짯tig es ist, ins짯be짯son짯de짯re im Web mit aktu짯el짯ler Soft짯ware unter짯wegs zu sein. Wenn es Hackern gelingt, selbst auf einem kom짯plett durch짯ge짯patch짯ten Sys짯tem Schad짯code zur Aus짯f체h짯rung zu brin짯gen, kann man in etwa erah짯nen, welch gerin짯ge H체r짯de es dar짯stellt, wenn Schad짯code auf ein Sys짯tem mit bereits bekann짯ten Sicher짯heits짯l체짯cken trifft.

Quel짯le: Ars짯Tech짯ni짯ca