Hacker-Wettbewerb: Teils gravierende Schwachstellen in Safari, Exchange, Zoom und weiteren

Wer eine Sicherheitslücke findet und diese an den Hersteller meldet, wird mitunter fürstlich dafür entlohnt. Es gibt sogar ganze Hackerwettbewerbe, in denen die Unternehmen hohe Preisgelder dafür ausschreiben, möglichst viele Sicherheitslücken zu finden oder gar das komplette System zu kapern. Je umfassender der Einbruch glückt, desto üppiger normalerweise auch die Belohnung. Alle Seiten profitieren dadurch. Anbieter erfahren so oft zum ersten Mal von Schwachstellen, welche sie nun schließen können – und zwar bevor es Exploits gibt, die dann zum Schaden der Nutzer eingesetzt werden. Zahlreiche Hacker bzw. Sicherheitsexperten bestreiten wiederum ihren Lebensunterhalt damit, auf die Suche nach Lücken zu gehen.


Allerdings spielt die Höhe der Belohnung eine ziemlich wichtige Rolle. Exploits und Sicherheitslücken lassen sich nämlich nicht nur an die Hersteller selbst verkaufen. Es kursiert nämlich noch ein weiterer Markt: Wer beispielsweise Lösungen verkauft, um gesperrte iPhones zu entriegeln, muss dazu auf nicht dokumentierte Schwachstellen setzen und diese auf dem Hackermarkt einkaufen. Sind die Belohnungen der Anbieter zu gering, erfahren diese also mitunter gar nichts von Problemen ihrer Software.

Per Safari Code im Kernel ausführen
Beim "Pwn2Own 2021"-Event gelang es einem Sicherheitsexperten namens Jack Dates nun, 100.000 Dollar dafür einzustreichen, indem er Safari knackte. Mithilfe eines Speicherüberlaufs drang er so tief ins System vor, dass Dates sogar Code auf Kernelebene ausführen konnte. Darüber wäre es theoretisch möglich gewesen, das komplette System zu übernehmen und einigen Schaden anzurichten. Bei einem "Zero Day"-Exploit wie diesem handelt es sich um eine Lücke, die zuvor unbekannt war. Voraussetzung war, dass es keiner komplexen Kette an Schritten bedurfte, sondern der manipulierte Safari-Inhalt mit einem Schritt in Gang zu setzen sein musste. Eine Demonstration gab es per kurzem GIF auf Twitter.

Wettbewerb offenbarte noch viele andere Lücken
Auf der Veranstaltungsseite gibt es allerdings noch zahlreiche weitere erfolgreiche Angriffe zu vermelden. Das Knacken eines Exchange-Servers sowie Microsoft Teams waren je gar 200.000 Dollar wert, auch Code-Ausführung via Zoom-Konferenz brachte den Hackern diese Summe ein. Die meisten ausgezahlten Preisgelder lagen allerdings in fünfstelligen Regionen, nur Safari, Chrome, Zoom, Exchange &Teams sowie Parallels Desktop ließen die "Bounties" in sechsstellige Höhe wachsen.

Kommentare

DTP
DTP09.04.21 13:33
MTN
Beim "Pwn2Own 2021"-Event gelang es einem Sicherheitsexperten namens Jack Dates nun, 100.000 Dollar dafür einzustreichen, indem er Safari knackte. Mithilfe eines Speicherüberlaufs drang er so tief ins System vor, dass Dates sogar Code auf Kernelebene ausführen konnte. Darüber wäre es theoretisch möglich gewesen, das komplette System zu übernehmen und einigen Schaden anzurichten. Bei einem "Zero Day"-Exploit wie diesem handelt es sich um eine Lücke, die zuvor unbekannt war. Voraussetzung war, dass es keiner komplexen Kette an Schritten bedurfte, sondern der manipulierte Safari-Inhalt mit einem Schritt in Gang zu setzen sein musste. Eine Demonstration gab es per kurzem GIF auf Twitter.

Wow. Dass das so einfach ist, einen Mac über den Browser zu knacken, hätte ich jetzt nicht gedacht. Desktop-Hintergrundbild ausgetauscht, Taschenrechner gestartet, eine Animation als natives Programm gestartet sowie eine Shell, die Zugriff auf den Mac gibt. Über eine Browserseite, die aufgerufen wurde.

Übernahme des Rechners über Zoom sowie Zugriff aufs Host System aus Parallels heraus sind auch keine unkritischen Sicherheitslücken.

Ich hoffe, dass Apple, Corel, Zoom u.a.a. schnell Patches veröffentlichen, bevor Details über die Exploits bekannt werden. Gut, dass es solche Hacker:innen und Initiativen gibt.
+3
Nebula
Nebula09.04.21 15:19
Ich dachte, mir Swift wären solche Speicherüberläufe gar nicht mehr möglich. Oder wurde Safari noch gar nicht auf Swift umgestellt?
»Wir werden alle sterben« – Albert Einstein
0
eastmac
eastmac09.04.21 16:04
“Beim "Pwn2Own 2021"-Event gelang es einem Sicherheitsexperten namens Jack Dates nun, 100.000 Dollar dafür einzustreichen, indem er Safari knackte. Mithilfe eines Speicherüberlaufs drang er so tief ins System vor, dass Dates sogar Code auf Kernelebene ausführen konnte. Darüber wäre es theoretisch möglich gewesen, das komplette System zu übernehmen und einigen Schaden anzurichten. Bei einem "Zero Day"-Exploit wie diesem handelt es sich um eine Lücke, die zuvor unbekannt war. Voraussetzung war, dass es keiner komplexen Kette an Schritten bedurfte, sondern der manipulierte Safari-Inhalt mit einem Schritt in Gang zu setzen sein musste. Eine Demonstration gab es per kurzem GIF auf Twitter.”

Wie kommt der an meine IP?
Wie machen die solche Angriffe?
-4
DTP
DTP09.04.21 16:26
eastmac
Wie kommt der an meine IP?
Wie machen die solche Angriffe?
Indem du seine Browserseite aufrufst. Der Angriff dauerte 2-3 Minuten und Safari gab eine Meldung aus, dass die Webseite einige Resourcen verbrauchte. Dann aber hatte er Kontrolle über dein System. Deine IP Adresse braucht er nicht (das erzählt ihm ja schon dein Browser).
+4
eastmac
eastmac09.04.21 18:54
DTP
eastmac
Wie kommt der an meine IP?
Wie machen die solche Angriffe?
Indem du seine Browserseite aufrufst. Der Angriff dauerte 2-3 Minuten und Safari gab eine Meldung aus, dass die Webseite einige Resourcen verbrauchte. Dann aber hatte er Kontrolle über dein System. Deine IP Adresse braucht er nicht (das erzählt ihm ja schon dein Browser).


Also schickt er mir einen Link, nett verpackt in irgend etwas und ich muss ihn quasi aktiv selber ansurfen?

Es ist jetzt nicht so, dass er aus heiterem Himmel auf meinen Rechner kommt?
-1
MacBlack
MacBlack09.04.21 20:01
eastmac
Also schickt er mir einen Link, nett verpackt in irgend etwas und ich muss ihn quasi aktiv selber ansurfen?

Es ist jetzt nicht so, dass er aus heiterem Himmel auf meinen Rechner kommt?

So habe ich DTP verstanden.
0
MikeMuc10.04.21 00:38
eastmac
Welch Webseiten surfst du oft an? Nun stell dir noch vor, da ist ein Admin oder der Serverbetreiber mies drauf oder wurde seinerseits gehackt. Schon werden alle dort aufschlagende Safariuser mit einer präparierten Website versorgt.
Ganz ähnlich wurden ja gerade Gigaset Telefone verseucht. Die bekamen, weil sie früher schon kein Firmwareupdaze gemacht haben, un von einem kompromittierten Updateserver eine verseuchte Firmware frei Haus geliefert.
0
DTP
DTP10.04.21 13:34
eastmac
DTP
eastmac
Wie kommt der an meine IP?
Wie machen die solche Angriffe?
Indem du seine Browserseite aufrufst. Der Angriff dauerte 2-3 Minuten und Safari gab eine Meldung aus, dass die Webseite einige Resourcen verbrauchte. Dann aber hatte er Kontrolle über dein System. Deine IP Adresse braucht er nicht (das erzählt ihm ja schon dein Browser).
Also schickt er mir einen Link, nett verpackt in irgend etwas und ich muss ihn quasi aktiv selber ansurfen?

Es ist jetzt nicht so, dass er aus heiterem Himmel auf meinen Rechner kommt?
Genau, dein Browser muss seine Webseite anzeigen.

Entweder wie MikeMuc beschrieben hat, oder einen Link, den jemand hier im Forum gepostet hat und den du ansurfst. Oder ein präpariertes Codeschnipsel in einer Anzeige? Oder ein Googlesuchergebnis, das du anklickst?

Mehr weiß man, wenn Details zum Hack veröffentlicht werden.
0
Christoph_M
Christoph_M12.04.21 18:04
eastmac
Wie machen die solche Angriffe?
Jetzt denkt der normale User „naja ich gehe ja nur auf mir bekannte Seite wie die Süddeutsche und MTN, betrifft mich nicht“. Nur: beide Seiten haben Werbung, wer sagt dir, dass der Hack nicht durch die Werbung passiert? Und wer sagt dir, dass Süddeutsche oder MTN (jetzt nur als Beispiele) keine XSS oder SQL injection oder oder Lücken haben. Sprich ich platziere den Code auf MTN, du gehst drauf und Zack bist du kompromittiert. Das ist so ungefähr der worst case ever. Keinen Link gedrückt, keine komische Mail geöffnet, gar nichts.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.