Mozilla stopft Pwn2Own-Lücke in Firefox

Alle Jahre wieder findet im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver auch der Hacker-Wettstreit Pwn2Own statt. Veranstalter ist Tipping Point, das mittlerweile zu Trend Micro gehört. Zur dreitägigen Jubiläumsausgabe sind in diesem Jahr so viele Teilnehmer angetreten wie noch nie und die ausgelobten Preisgelder haben die Marke von einer Million US-Dollar überschritten. Erst wenige Tage vor dem Wettbewerb hatten Mozilla ( Firefox ), Google ( Chrome ), Adobe ( Flash Player ), VMware (Workstation, Player) und Microsoft ( Windows, Edge ) noch Updates veröffentlicht und damit zahlreiche Sicherheitslücken geschlossen. Am ersten Tag des Wettbewerbs haben sich Forscher des 360 Security Teams den Adobe Reader vorgenommen. Sie nutzen einen Speicherüberlauf im JPEG2000-Code und kombinierten ihn mit zwei Bugs im Windows-Kernel, um eingeschleusten Code auszuführen. Der nächste Hack galt Safari und macOS – wir berichteten . Dann knackte Tencent Security – Team Ether Microsofts Edge, der im weiteren Verlauf noch mehrmals zur Zielscheibe wurde. Ubuntu Linux debütierte in diesem Jahr beim Pwn2Own. Das Team des Chaitin Security Research Lab, ebenfalls Debütant, nutzte einen Bug im Linux Kernel, um die Taschenrechner-App xcalc zu starten. Der einzige Angriffsversuch auf Google Chrome scheiterte hingegen. Tencent Security – Team Sniper schaffte es nicht, seine Exploit-Kette in der vorgegebenen Zeit zum Laufen zu bringen. Das Team konnte sich jedoch gleich darauf mit einem Hack des Adobe Reader rehabilitieren. Den letzten Erfolg des ersten Wettbewerbstages erzielte wieder das Team des Chaitin Security Research Lab mit einem erfolgreichen Angriff auf macOS via Safari. Den zweiten Tag teilte Tipping Points Zero Day Initiative (ZDI) in zwei parallele Tracks auf, damit alle angemeldeten Hacks vorgeführt werden konnten. Im ersten Track gab es zunächst zwei erfolgreiche Angriffe auf den Flash Player, gefolgt vom zweiten und dritten Edge-Hack. Am frühen Abend folgten noch zwei erfolgreiche Attacken auf Windows 10. Im zweiten Track standen zunächst wieder macOS und dessen Browser Safari im Mittelpunkt. Insgesamt vier erfolgreiche Angriffe wurden demonstriert, ein fünfter Versuch (Tencent Security – Team Sniper) wurde disqualifiziert, da Apple die benutzten Lücken bereits bekannt waren. Den ersten Angriff auf Firefox überstand Mozillas Browser noch, da Moritz Jodeit (Blue Frost Security) seine Exploit-Kette nicht im Zeitrahmen zum Erfolg führen konnte. Besser machte es das Team des Chaitin Security Research Lab, das einen Ganzzahlüberlauf in createImageBitmap() provozierte. Den kombinierten sie mit einem Windows Kernel-Bug, der ihnen Systemrechte verschaffte.

Da beim Pwn2Own stets alle benutzten Exploits sogleich an die betroffenen Software-Hersteller übergeben werden, machten sich die Mozilla-Entwickler umgehend ans Werk und stopften die ausgenutzte Lücke . Dazu deaktivierten sie experimentelle Erweiterungen der createImageBitmap API. Bereits tags darauf standen Firefox 52.0.1 und Firefox ESR 52.0.1 zum Download bereit und wurden übers Wochenende verteilt. Der dritte Wettbewerbstag begann mit zwei weiteren Edge-Hacks. Das 360 Security Team kombinierte seinen Edge-Exploit mit einer Kernel-Lücke in Windows sowie einem VMware-Bug. So schafften sie es binnen 90 Sekunden, aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Als Letztes trat noch einmal Tencent Security – Team Sniper an und demonstrierte einen Ausbruch aus VMware Workstation. Insgesamt konnte Tipping Point ZDI 833.000 US-Dollar sowie ein Dutzend Laptops verteilen. Gesamtsieger des Wettbewerbs („Master of Pwn“) wurde das 360 Security Team mit 63 Punkten und 255.00 Dollar Preisgeld vor Tencent Security – Team Sniper (60 Punkte, 280.000 Dollar). Das Team des Chaitin Security Research Lab belegte bei seinem ersten Pwn2Own-Auftritt mit 26 Punkten und 90.000 Dollar den dritten Platz.