Wohin man sieht: Angriffsziel Webbrowser
Webbrowser sind zur Zeit sehr beliebt. Sowohl bei den Cyberkriminellen und "staatlich gesponserten Angreifern" (siehe die 0-Day-Schwachstellen im IE) als auch bei den Sicherheitsforschern (siehe Pwn4Fun, Pwn2Own und Pwnium). Und zumindest teilweise spielen die den Angreifern in die Hände.
(Wenig) Neues zur 2. IE-0-Day-Schwachstelle
Zur zweiten 0-Day-Schwachstelle im Internet Explorer, die Microsoft am Patchday gleichzeitig bekannt gemacht und behoben hat, hat Symantec einige wenige Neuigkeiten: Symantec hat den Exploit Mitte Februar im Rahmen (vermutlicher) Wasserloch-Angriffe entdeckt. Ausgenutzt wurde die Schwachstelle über eine präparierte Webseite, aber das ist bei Browser-Schwachstellen ja eigentlich so üblich. Der Exploit lädt seine Payload von einem spezifischen URL auf einer kompromittierten Website, Symantec konnte die Payload aber nicht laden. Der Exploit funktioniert in Symantecs Testumgebung bei aktivierter DEP nicht.
Letzteres finde ich merkwürdig: Laut einem
Eintrag
im Security Research & Defense Blog wird ASLR über eine mit
MS13-106
behobene Schwachstelle in der DLL HXDS.DLL
aus Microsoft
Office umgangen. Aber von der DEP lässt der Exploit sich stoppen?
Vereinfacht ausgedrückt dient ASLR dazu, dass Umgehen der DEP durch
Return-oriented programming (ROP) zu erschweren. Und der Exploit umgeht
zwar die ASLR, nicht aber die DEP? Also irgend etwas stimmt da nicht. Vielleicht
haben Symantec und Microsoft unterschiedliche Exploits entdeckt. Oder in
Symantecs Testumgebung ist die HXDS.DLL
nicht oder nicht in
einer angreifbaren Version vorhanden, so dass das Umgehen von ASLR nicht
funktioniert. Dann würde der Exploit natürlich auch von der DEP
gestoppt.
Etwas anderes finde ich aber noch merkwürdiger: Es gibt eine 0-Day-Schwachstelle im IE, und außer Symantec hat kein anderer Antiviren-Hersteller die Angriffe darauf bemerkt? Dann scheinen sie ja wirklich ganz extrem gezielt zu sein. Und die Opfer verwenden nur die Virenscanner von Microsoft und Symantec? Hmmmhhh....
Pwn4Fun - Ein guter Zweck heiligt die Mittel?
Es ist mal wieder Zeit für die CanSecWest und damit dem Pwn2Own-Wettbewerb. Parallel findet Googles Pwnium-Wettbewerb statt, gesucht werden dort Angriffe auf Chrome OS. Aber bevor es ernst wurde gab es den/die/das Pwn4Fun: Forscher von Google und Pwn2Own-Sponsor HP führten Exploits für zuvor nicht veröffentlichte Schwachstellen in Safari und Internet Explorer vor. Erfolgreiche Exploits führten zu Spenden an das Kanadische Rote Kreuz, wo man sich über mehr als 80.000 US-Dollar freuen konnte.
Trotz des guten Zwecks hat die Aktion einen schlechten Nachgeschmack: Wie lange haben Google und HP denn diese 0-Day-Schwachstellen geheim gehalten? Was wäre, wenn die in der Zwischenzeit für Angriffe genutzt worden wären? Es wäre nicht das erste Mal, dass Schwachstellen von den "Guten" und den Cyberkriminellen oder "staatlich gesponserten Angreifern" parallel entdeckt wurden. Google kann da ein Lied von singen, die wurden selbst während der Operation Aurora Opfer eine 0-Day-Schwachstelle im IE, die nicht nur von den Angreifern entdeckt und ausgenutzt, sondern auch von einem Forscher entdeckt und an Microsoft gemeldet worden war. Aber bevor Microsoft den Patch veröffentlichen konnte kam es schon zum Angriff auf Google.
Angeblich wurden die Schwachstellen nicht verheimlicht, sondern Apple und Microsoft mitgeteilt. Aber wann? Immerhin hätten Apple und Microsoft die ja vor dem Wettbewerb patchen können, und die schöne Vorführung wäre ins Wasser gefallen. Also ein gewisses Geschmäckle bleibt da doch. Es wäre doch ein sehr großer Zufall, wenn man die Schwachstellen gerade passend zum Wettbewerb entdeckt hätte.
Pwn2Own - Fröhliches Browser-Versenken
Prinzipiell gilt für die beim Pwn2Own-Wettbewerb genutzten Schwachstellen das gleiche wie für die beim Pwn4Fun: Alle Schwachstellen wurden sehr wahrscheinlich lange vor dem Wettbewerb entdeckt und bis zum Wettbewerb geheim gehalten. Denn wenn die Hersteller darüber informiert werden, könnten sie die Schwachstellen ja bis zum Wettbewerb patchen und die Entdecker gehen leer aus. Zumindest Vupen gibt zu, zwei Monate an den Exploits gearbeitet zu haben.
Also waren da einige Zeit einige kritische Schwachstellen offen, obwohl sie längst hätten gepatcht sein können. Rechtlich ist gegen die Wettbewerbe nichts einzuwenden, moralisch aber wohl doch. Ist es fies, wenn ich hoffe, dass die Sponsoren irgendwann Opfer eines Angriffs auf so eine zurückgehaltene Schwachstelle werden? Dann trifft es immerhin keinen Unschuldigen!
Aber kommen wir zu den ausgenutzten Schwachstellen. Am ersten Tag wurden erfolgreich angegriffen:
- Mozilla Firefox
- Ausführung von Code (Jüri Aedla)
- Ausführung von Code (Team VUPEN)
- Privilegieneskalation im Browser (Mariusz Mlynski)
- Umgehen von Schutzmaßnahmen (Mariusz Mlynski)
- Internet Explorer (Ausbruch aus der Sandbox, Team VUPEN)
- Adobe Flash (Ausführung von Code, Team VUPEN)
- Adobe Reader (Ausführung von Code, Team VUPEN)
Am zweiten Tag erwischte es
- Google Chrome
- Ausführung von Code (anonymer Teilnehmer)
- Ausführung von Code (Team VUPEN)
- Internet Explorer (Ausführung von Code, Sebastian Apelt und Andreas Schmidt)
- Apple Safari (Ausführung von Code, Liang Chen vom Keen Team)
- Mozilla Firefox (Ausführung von Code, George Hotz)
- Adobe Flash (Ausführung von Code, Zeguang Zhao vom team509 und Liang Chen vom Keen Team)
Pwnium - Chrome OS fällt ein Mal
Die Ergebnisse des Pwnium-Wettbewerbs sehen besser aus (wenn auch das offizielle Ergebnis noch auf sich waren lässt): Es gibt lediglich einen erfolgreichen Gewinner. Geohot (George Hotz) gewann 150.000 US-Dollar für eine vollständige Kompromittierung von Chrome OS. Außerdem wurden von Pinkie Pie mehrere Schwachstellen demonstriert, hier wurde die Gewinnsumme noch nicht ermittelt.
Alle Browser sind unsicher
Die Wettbewerbe haben mal wieder gezeigt, das sich alle Browser irgendwie angreifen lassen. Entweder direkt oder über ein PlugIn. Aber das haben ja auch schon die 0-Day-Exploits 2013 gezeigt. Und viele weitere Angriffe.
Aber Moment: Alle Browser? Nein, einer hat sich erfolgreich den Angriffen widersetzt: Ein Exploit für den IE 11 auf einem 64-Bit-System mit installierten Enhanced Mitigation Experience Toolkit (EMET) wurde als Exploit Unicorn gesucht. Aber keinem Teilnehmer gelang es, das Einhorn zu fangen. Ach ja: Auch für Java wurde kein Versuch gestartet, Team Vupen hat den eingereichten Exploit zurück gezogen.
Eine Aussage darüber, welcher Browser am sichersten ist, lässt sich daraus aber nicht ableiten. Verwenden Sie einfach den Browser, mit dem Sie am besten arbeiten können. Sofern es nicht gerade der IE 6 ist - das wäre ja Leichenschänderei! Und dann gilt natürlich immer der altbekannte Rat: Verwenden Sie die aktuellsten Versionen von Betriebssystem und Anwendungen.
Trackbacks