Das Team des französischen Sicherheitsunternehmens VUPEN hat nach dem Chrome-Hack am ersten Pwn2own-Tag nun auch den Internet Explorer (IE) geknackt. Die Bug-Forscher um den Firmengründer Chaouki Bekrar haben dazu zwei bis dahin nicht bekannte Schwachstellen im IE ausgenutzt. Das VUPEN-Team erhält dafür weitere 32 Punkte und führt im Wettbewerb mit großem Vorsprung vor dem zweiten Team.
Die erste ausgenutzte Lücke ist ein Speicherüberlauf (Heap Overflow), der in allen IE-Versionen einschließlich des noch unfertigen Internet Explorer 10 provoziert werden kann. Um aus der IE-Sandbox, dem Protected Mode auszubrechen, haben die Forscher einen zweiten Exploit entwickelt, der den Speicher korrumpiert. So hat das VUPEN-Team die volle Kontrolle über einen Rechner mit Windows 7 (64 Bit, SP1) und allen Sicherheits-Updates erlangt.
Nach den Bedingungen für den Pwn2own-Wettbewerb müssen die Gewinner die Details zur ersten Lücke gegenüber dem Veranstalter TippingPoint offen legen. Dieser reicht die Informationen dann an den betroffenen Hersteller weiter, hier Microsoft. Wie VUPEN den Ausbruch aus der Browser-Sandbox geschafft hat (bei Chrome und IE), dürfen die Forscher für sich behalten.
Nach dem zweiten Pwn2own-Tag führt das VUPEN-Team den Wettbewerb mit 124 Punkten klar an. Die Punkte stammen aus dem Chrome-Hack vom ersten Tag, dem IE-Hack (je 32 Punkte) sowie aus sechs gelösten Aufgaben der so genannten CVE Challenge (je zehn Punkte). Dabei sollen die Teilnehmer kurzfristig Exploit-Code für bereits länger bekannte Sicherheitslücken programmieren. Das waren in diesem Fall je zwei ältere Lücken in Safari, Firefox und IE.
Die bislang einzigen Konkurrenten, das Team der Vorjahresgewinner Vincenzo Iozzo und Willem Pinckaers, haben bisher lediglich zehn Punkte für einen IE-Exploit aus der CVE Challenge auf dem Konto. Der Wettbewerb wird heute mit der dritten Runde beendet. Im Prinzip ist noch nichts entschieden – jeder neu erscheinende Teilnehmer könnte mit vier Browser-Hacks 128 Punkte erzielen sowie weitere bei der CVE Challenge. Es erscheint jedoch unwahrscheinlich, dass VUPEN noch zu schlagen sein wird. Das Team hat schon vor Beginn verlautbart, es habe Exploits für alle vier Browser in petto.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.