Dipl.-Inform. Carsten Eilers

Angegriffen werden konnten

• Googles Chrome unter Windows 7 (Preisgeld 100.000 US-Dollar)
• Microsofts Internet Explorer
  • 10 unter Windows 8 (Preisgeld 100.000 US-Dollar) oder
  • 9 unter Windows 7 (Preisgeld 75.000 US-Dollar)
• Mozillas Firefox unter Windows 7 (Preisgeld 60.000 US-Dollar)
• Apples Safari unter Mac OS X "Mountain Lion" (Preisgeld 65.000 US-Dollar)

als Webbrowser, außerdem standen die Browser-Plug-Ins

• Adobe Reader XI (Preisgeld 70.000 US-Dollar)
• Adobe Flash Player (Preisgeld 70.000 US-Dollar)
• Oracle Java (Preisgeld 20.000 US-Dollar)

jeweils im Internet Explorer 9 unter Windows 7 als Ziel zur Verfügung. Java-Exploits scheinen ziemlich wertlos zu sein, es gibt wohl einfach zu viele leicht zu findende Schwachstellen darin.

Tag 1: Mittwoch, 6. März 2013 - IE, Chrome, Firefox und Java gehackt

Schon am ersten Tag ging es rund:

• Der IE 10 wurde von einem Team von VUPEN Security über zwei 0-Day-Schwachstellen erfolgreich angegriffen.
• Mozillas Firefox fiel ebenfalls VUPEN Security zum Opfer, die eine neuen Methode zum Umgehen von ASLR und DEP einsetzten. Mozilla erhielt die Informationen über die Schwachstelle Mittwoch Abend, und innerhalb von 24 Stunden wurde ein Patch entwickelt und veröffentlicht.
• Googles Chrome wurde von Nils und Jon gehackt. Erst brachen sie über eine Chrome-Schwachstelle in die Sandbox ein, dann über eine Kernel-Schwachstelle daraus aus.
  Es hat Google also nicht geholfen, dass kurz vor dem Wettbewerb noch zehn Schwachstellen, darunter sechs als "hoch" eingestufte, behoben wurden. Aber auch die Pwn2Own-Schwachstelle wurde bereits kurz nach ihrer Veröffentlichung behoben.
• Das Java-Plug-In wurde gleich drei Mal erfolgreich angegriffen: Von
  • James Forshaw,
  • Joshua Drake und
  • VUPEN Security, die auch hier eine neue Methode zum Umgehen von ASLR einsetzten.

Tag 2: Donnerstag, 7. März - Flash Player, Adobe Reader und Java gehackt

Am zweiten Tag ging es dann noch mal den Plug-Ins an den Kragen:

• Der Flash Player wurde von VUPEN Security gehackt, dabei kamen drei 0-Day-Schwachstellen zum Einsatz: Eine Überlauf-Schwachstelle (vermutlich im Flash Player), eine Möglichkeit zum Umgehen der ASLR und eine Schwachstelle, die den Ausbruch aus der IE-9-Sandbox erlaubt.
• Der Adobe Reader XI wurde von George Hotz geknackt, der erst in die Sandbox ein- und danach daraus ausbrach.
• Und zu guter Letzt wurde Java noch einmal gehackt, diesmal von Ben Murphy "via Proxy" (was vermutlich bedeutet, dass jemand anders an seiner Stelle den Rechner angriff, da die Angreifer eigentlich vor Ort sein mussten).

Laut Zero Day Initiative, den Veranstaltern des Wettbewerbs, wurde zwar Java am häufigsten angegriffen, die meisten Schwachstellen aber an Microsoft gemeldet. Allein von VUPEN Security wurden insgesamt acht 0-Day-Schwachstellen/neue Techniken genutzt und an die betroffenen Entwickler gemeldet.

Pwnium - Kein Erfolg beim Angriff auf Chrome OS

Neben dem Pwn2Own-Wettbewerb fand am 7. März auch Googles eigener Pwnium-Wettbewerb statt, bei dem ein Chromebook mit aktueller Chrome-OS-Version kompromittiert werden musste, um das Preisgeld zu gewinnen. Für einen erfolgreichen Angriff per Drive-by-Infektion, der einen Neustart übersteht, gab es 150.000 US-Dollar, für eine temporäre Kompromittierung 110.000 US-Dollar. Der Wettbewerb wurde ergebnislos beendet, ob einige versuchte Angriffe zumindest teilweise gewertet werden können wird von Google untersucht.

Webbrowser und Plug-Ins sind gefährlich?

Angesichts der Ergebnisse bleibt eigentlich nur ein Schluss: Webbrowser und deren Plug-Ins lassen sich leicht angreifen. Und da Schadsoftware inzwischen meistens über Drive-by-Infektionen verbreitet wird, ist das extrem schlecht. Laut Chaouki Bekrar, dem CEO von VUPEN Security, wird das Entwickeln eines Exploits immer schwieriger und damit teuerer, aber angesichts der vielen 0-Day-Exploits, die es dieses Jahr bereits gab, scheint das die Cyberkriminellen nicht zu stören. Zumal sie ja im Zweifelsfall nur waren müssen, bis ein im Rahmen eines APT eingesetzter 0-Day-Exploit bekannt wird. Den können sie dann erstmal ungestört nutzen, denn meist dauert es einige Zeit, bis die Schwachstelle behoben und vor allem das Update überall installiert ist.

Virtualisierter Browser als Alternative?

So langsam müssen wir uns Gedanken machen, wie wir den Gefahren durch Drive-by-Infektionen und unsicheren Browsern und deren Plug-Ins Herr werden. Eine Möglichkeit könnte das Virtualisieren des Browsers sein, wie es zum Beispiel vom "Browser-in-the-Box" (BitBox) demonstriert wird. BitBox wurde von der Sirrix AG im Auftrag des BSI entwickelt, um Behörden und Unternehmen das sichere Surfen im Web zu ermöglichen, kann von Privatpersonen aber kostenlos heruntergeladen und genutzt werden.

Da der BitBox bei jedem Start aus einem nicht manipulierbaren Image gestartet wird, kann ein Angreifer maximal die virtualisierte Browser-Umgebung für die Dauer einer Session kompromittieren. Und da es sich dabei um ein gehärtetes Linux-System handelt und die meiste aktuelle Schadsoftware aus Angst vor Analysen in virtuellen Umgebungen sowieso den Dienst verweigert ist das ziemlich unwahrscheinlich.

Da ein Angriff auf den virtualisierten Browser, egal ob BitBox oder Eigenbau oder was auch immer nicht unmöglich ist, empfiehlt es sich, den virtualisierten Browser vor kritischen Aktionen wie zum Beispiel dem Onlinebanking neu zu starten. Es wäre doch ziemlich dumm, wenn man sich morgens durch eine Drive-by-Infektion einen Onlinebanking-Trojaner eingefangen hat, der dann Abends beim Onlinebanking seine bösen Aktionen ausführen kann, bevor er beim Beenden des virtuellen Systems ausgelöscht wird.

Carsten Eilers