Chinesischer Hackerwettbewerb deckt Zero-Day-Lücken in Chrome, Edge und Safari auf

Chinesische Sicherheitsforscher haben beim Tianfu Cup, dem wichtigsten Hacker-Wettbewerb des Landes, Schwachstellen in zahlreichen weit verbreiteten Anwendungen entdeckt. Unter anderem wurden Microsoft Edge und Google Chrome mehrfach geknackt. Aber auch Apple Safari fiel den Hackern zum Opfer.

Am ersten Tag der zweitägigen Veranstaltung präsentierten gleich drei Teams Anfälligkeiten in der Edge-Version mit Microsofts eigener Browser-Engine. Ihnen gelang jeweils das Einschleusen und Ausführen von Schadcode aus der Ferne. Zwei Teams konnten ihren Code zudem außerhalb der Sandbox ausführen, was ihnen jeweils eine Prämie von 55.000 Dollar einbrachte.

Google Chrome mussten sich immerhin zwei Hackerteams beugen, die jeweils 20.000 Dollar kassierten. Zu den Bugs in Chrome machten die Veranstalter keine Angaben – die Höhe der Belohnung legt aber die Vermutung nahe, dass es sich nicht um einen Sandbox-Escape wie bei Chrome handelt.

Ein Angriff auf Apple Safari war offenbar nur teilweise erfolgreich – brachte dem Team aber trotzdem 30.000 Dollar ein. Eine weitere Attacke auf Office 365 belohnten die Veranstalter indes mit 40.000 Dollar. Ein Hacker zeigte, wie sich die Sicherheitsfunktion ProtectionView zumindest teilweise mit einem per Edge heruntergeladenen RTF-Dokument umgehen lässt.

Darüber hinaus wurde der Adobe Reader am Samstag zweimal gehackt, um Schadcode einzuschleusen und auszuführen. Außerdem gelang es drei Teams unabhängig voneinander, einen D-Link-Router vom Typ DIR-878 aus der Ferne zu kontrollieren. Die höchste Belohnung des ersten Tags ging schließlich an ein Team von 360Vulcan, das erfolgreich eine virtuelle Maschine (QEMU.-KVM) verließ und beliebigen Code auf einem Ubuntu-Host ausführte – 80.000 Dollar war dem Veranstalter diese Schwachstelle wert.

Am heutigen zweiten Tag wurde der D-Link-Router DIR-878 weitere viermal gehackt. Zudem zeigten zwei Teams zwei weitere Anfälligkeiten in Adobe Reader. Für das größte Aufsehen sorgte allerdings erneute eine Virtualisierungssoftware. 24 Sekunden benötigte ein Team von 360Vulcan, um ein VMware-EXSi-Gastsystem zu verlassen und die Kontrolle über das Gastbetriebssystem zu übernehmen. Dafür schüttete der Veranstalter ein Preisgeld von 200.000 Dollar aus.

Damit kürten sich Forscher von 360Vulcan auch zum Sieger des Wettbewerbs. Sie verließen die Veranstaltung mit insgesamt 382.500 Dollar. Ein noch höheres Preisgeld verpassten sie, weil sie kurz vor Ende des Wettbewerbs ihre Präsentation eines iOS-Exploits absagen mussten.

Mitarbeiter von 360Vulcan und andere chinesische Hacker dominierten jahrelang den Hackerwettbewerb Pwn2Own. Anfang 2018 untersagte es die chinesische Regierung ihren Top-Hackern jedoch, an von ausländischen Unternehmen veranstalteten Wettbewerben teilzunehmen. Der darauf ausgerufene Tianfu Cup wurde erstmals im Herbst 2018 ausgetragen.