Microsofts hochgesicherten Webbrowser Edge zu knacken war eines der begehrtesten und hochdotiertesten Ziele beim diesjährigen Hacker-Kongress Pwn2Own in Vancouver. Gleich mehreren Teams gelang es, Schwachstellen im Browser aufzugreifen und Schadcode einzuschleusen.
Den bislang höchsten Preis für die Aufdeckung einer solchen Zero-Day-Lücke erhielt nun das Team von Qihoo 360 mit satten 105.000 Dollar am dritten und letzten Tag von Pwn2Own. Dabei ging es quasi um die höchste Sicherheitsstufe, dem Entkommen aus einer virtuellen Maschine durch die Einschleusung von Schadcode in selbiger, um dann auf das Host-Betriebssystem zuzugreifen und dort verschiedene Aktionen auszuführen.
Der virtuellen Maschine entkommen
Qihoo 360 gelang es durch eine Kombination unterschiedlicher Sicherheitslücken. Sie zeigten den Hack durch die Ausnutzung eines Heap-Overflow-Bugs in Edge, wobei ein Fehler im Windows-Kernel und ein bislang nicht angesprochener Schwachpunkt in der Puffer-Verarbeitung von VMware dabei half, auszubrechen. Im Ergebnis konnten sie vollständig aus der virtuellen Maschine entkommen und auf den Host zugreifen.
Auch Ubuntu anfällig
Wie das
Online-Magazin ArsTechnica von dem Hackerwettbewerb berichtet, war Edge in diesem Jahr überaus "beliebt" bei den gezeigten Angriffen. Die Sicherheitsforscher knackten aber auch reihenweise andere beliebte und weitverbreitete Browser wie Safari und Firefox und zeigten Schwachstellen zur Rechteausweitung in Ubuntu Linux, Windows und MacOS.
Feedback erwartet
Im vergangenen Jahr hatten sich einige Teams noch die Zähne daran ausgebissen,
Microsofts neuen Browser in der vorgegebenen Zeit während des Wettbewerbs auszutricksen. Es gelang dann jedoch noch, zwei Exploits vorzuführen. Dieses Jahr gingen die Hacks den Teams deutlich leichter von der Hand. Der Software-Riese war bislang besonders stolz darauf, wie gut Edge insgesamt abgesichert ist. Eine Stellungnahme aus Redmond zu den Ergebnissen von Pwn2Own 2017 steht noch aus.