Pwn2Own 2011: Hacker finden Sicherheitslücken in Safari und IE8

Teilnehmer des Hackerwettbewerbs Pwn2Own 2011, der derzeit in Kanada als Teil der Sicherheitskonferenz CanSecWest stattfindet, haben zwei neue Zero-Day-Lücken in Safari und Internet Explorer 8 demonstriert. In beiden Fällen ist es möglich, die Kontrolle über ein ungepatchtes System zu übernehmen. Ein Angreifer muss sein Opfer dafür nur auf eine manipulierte Seite locken.

Zuerst demonstrierte Chaouki Bekrar, Gründer des französischen Sicherheitsanbieters Vupen, eine Anfälligkeit in Safari unter einer vollständig gepatchten Version von Mac OS 10.6 Snow Leopard. Die Lücke stecke in der Browser-Engine WebKit, sagte Bekrar im Gespräch mit ZDNet. Drei Forscher hätten etwa zwei Wochen benötigt, um den Fehler zu finden und einen funktionierenden Exploit zu entwickeln.

Der irische Sicherheitsforscher Stephen Fewer, einer der Entwickler der Penetrationstest-Suite Metasploit, zeigte im Anschluss eine Schwachstelle in Internet Explorer 8 unter Windows 7 SP1 64-Bit. Genau wie Bekrar startete er als Beleg den Taschenrechner des Betriebssystems und legte eine Datei auf der Festplatte ab.

Fewer sagte, er habe für seine Präsentation eine Vorbereitungszeit von sechs Wochen benötigt. Sein Exploit basiere auf der Verknüpfung von insgesamt drei Schwachstellen. „Das wirklich Schwierige war, den Exploit zu schreiben. Dafür habe ich viel Zeit gebraucht.“

Beiden Sicherheitsforscher ist es gelungen, die in die Betriebssysteme eingebauten Sicherheitsfunktionen DEP (Datenausführungsverhinderung) und ASLR (Adress Space Layout Randomization) auszuhebeln, die die Ausführung von eingeschleustem Schadcode erschweren sollen. Fewer musste zusätzlich noch einen Weg finden, die Sandbox des Internet Explorer 8, den sogenannten geschützten Modus, zu verlassen.

Diese Sicherheitstechnologien machten es schwieriger, Browserfehler auszunutzen, sagte Fewer. Ein gut motivierter Angreifer, dem ausreichend Ressourcen zur Verfügung stünden, werde aber möglicherweise immer einen Weg finden, einen Exploit zu entwickeln. „Wenn man lange genug nach Fehlern sucht, dann findet man auch etwas.“

Technische Details über die Anfälligkeiten wurden nicht veröffentlicht. Die Rechte an den Lücken liegen bei der HP-Tochter TippingPoint, die Hauptsponsor der Veranstaltung ist.

Für die von ihnen entdeckten Sicherheitslücken erhielten Bekrar und Fewer jeweils ein Preisgeld von 15.000 Dollar. Zudem dürfen beide die Geräte behalten, auf denen die Exploits vorgeführt wurden: Bekrar bekommt ein neues Apple MacBook Air 13 Zoll, Fewer einen Laptop mit Windows 7.

Voraussichtlich werden bis zum Abschluss des Wettbewerbs am Freitag weitere neue Schwachstellen auftauchen. Neben Internet Explorer und Safari stehen den Teilnehmern auch Mozilla Firefox und Google Chrome zur Verfügung. Unter anderem kündigte Vupen an, es wolle ebenfalls ein Loch im IE8 unter Windows 7 zeigen.