Chinesische Sicherheitsforscher haben beim Tianfu Cup, dem wichtigsten Hacker-Wettbewerb des Landes, Schwachstellen in zahlreichen weit verbreiteten Anwendungen entdeckt. Unter anderem wurden Microsoft Edge und Google Chrome mehrfach geknackt. Aber auch Apple Safari fiel den Hackern zum Opfer.
Google Chrome mussten sich immerhin zwei Hackerteams beugen, die jeweils 20.000 Dollar kassierten. Zu den Bugs in Chrome machten die Veranstalter keine Angaben – die Höhe der Belohnung legt aber die Vermutung nahe, dass es sich nicht um einen Sandbox-Escape wie bei Chrome handelt.
Ein Angriff auf Apple Safari war offenbar nur teilweise erfolgreich – brachte dem Team aber trotzdem 30.000 Dollar ein. Eine weitere Attacke auf Office 365 belohnten die Veranstalter indes mit 40.000 Dollar. Ein Hacker zeigte, wie sich die Sicherheitsfunktion ProtectionView zumindest teilweise mit einem per Edge heruntergeladenen RTF-Dokument umgehen lässt.
Darüber hinaus wurde der Adobe Reader am Samstag zweimal gehackt, um Schadcode einzuschleusen und auszuführen. Außerdem gelang es drei Teams unabhängig voneinander, einen D-Link-Router vom Typ DIR-878 aus der Ferne zu kontrollieren. Die höchste Belohnung des ersten Tags ging schließlich an ein Team von 360Vulcan, das erfolgreich eine virtuelle Maschine (QEMU.-KVM) verließ und beliebigen Code auf einem Ubuntu-Host ausführte – 80.000 Dollar war dem Veranstalter diese Schwachstelle wert.
Am heutigen zweiten Tag wurde der D-Link-Router DIR-878 weitere viermal gehackt. Zudem zeigten zwei Teams zwei weitere Anfälligkeiten in Adobe Reader. Für das größte Aufsehen sorgte allerdings erneute eine Virtualisierungssoftware. 24 Sekunden benötigte ein Team von 360Vulcan, um ein VMware-EXSi-Gastsystem zu verlassen und die Kontrolle über das Gastbetriebssystem zu übernehmen. Dafür schüttete der Veranstalter ein Preisgeld von 200.000 Dollar aus.
Damit kürten sich Forscher von 360Vulcan auch zum Sieger des Wettbewerbs. Sie verließen die Veranstaltung mit insgesamt 382.500 Dollar. Ein noch höheres Preisgeld verpassten sie, weil sie kurz vor Ende des Wettbewerbs ihre Präsentation eines iOS-Exploits absagen mussten.
Mitarbeiter von 360Vulcan und andere chinesische Hacker dominierten jahrelang den Hackerwettbewerb Pwn2Own. Anfang 2018 untersagte es die chinesische Regierung ihren Top-Hackern jedoch, an von ausländischen Unternehmen veranstalteten Wettbewerben teilzunehmen. Der darauf ausgerufene Tianfu Cup wurde erstmals im Herbst 2018 ausgetragen.
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…