Skip to content

Wohin man sieht: Angriffsziel Webbrowser

Webbrowser sind zur Zeit sehr beliebt. Sowohl bei den Cyberkriminellen und "staatlich gesponserten Angreifern" (siehe die 0-Day-Schwachstellen im IE) als auch bei den Sicherheitsforschern (siehe Pwn4Fun, Pwn2Own und Pwnium). Und zumindest teilweise spielen die den Angreifern in die Hände.

(Wenig) Neues zur 2. IE-0-Day-Schwachstelle

Zur zweiten 0-Day-Schwachstelle im Internet Explorer, die Microsoft am Patchday gleichzeitig bekannt gemacht und behoben hat, hat Symantec einige wenige Neuigkeiten: Symantec hat den Exploit Mitte Februar im Rahmen (vermutlicher) Wasserloch-Angriffe entdeckt. Ausgenutzt wurde die Schwachstelle über eine präparierte Webseite, aber das ist bei Browser-Schwachstellen ja eigentlich so üblich. Der Exploit lädt seine Payload von einem spezifischen URL auf einer kompromittierten Website, Symantec konnte die Payload aber nicht laden. Der Exploit funktioniert in Symantecs Testumgebung bei aktivierter DEP nicht.

Letzteres finde ich merkwürdig: Laut einem Eintrag im Security Research & Defense Blog wird ASLR über eine mit MS13-106 behobene Schwachstelle in der DLL HXDS.DLL aus Microsoft Office umgangen. Aber von der DEP lässt der Exploit sich stoppen? Vereinfacht ausgedrückt dient ASLR dazu, dass Umgehen der DEP durch Return-oriented programming (ROP) zu erschweren. Und der Exploit umgeht zwar die ASLR, nicht aber die DEP? Also irgend etwas stimmt da nicht. Vielleicht haben Symantec und Microsoft unterschiedliche Exploits entdeckt. Oder in Symantecs Testumgebung ist die HXDS.DLL nicht oder nicht in einer angreifbaren Version vorhanden, so dass das Umgehen von ASLR nicht funktioniert. Dann würde der Exploit natürlich auch von der DEP gestoppt.

Etwas anderes finde ich aber noch merkwürdiger: Es gibt eine 0-Day-Schwachstelle im IE, und außer Symantec hat kein anderer Antiviren-Hersteller die Angriffe darauf bemerkt? Dann scheinen sie ja wirklich ganz extrem gezielt zu sein. Und die Opfer verwenden nur die Virenscanner von Microsoft und Symantec? Hmmmhhh....

Pwn4Fun - Ein guter Zweck heiligt die Mittel?

Es ist mal wieder Zeit für die CanSecWest und damit dem Pwn2Own-Wettbewerb. Parallel findet Googles Pwnium-Wettbewerb statt, gesucht werden dort Angriffe auf Chrome OS. Aber bevor es ernst wurde gab es den/die/das Pwn4Fun: Forscher von Google und Pwn2Own-Sponsor HP führten Exploits für zuvor nicht veröffentlichte Schwachstellen in Safari und Internet Explorer vor. Erfolgreiche Exploits führten zu Spenden an das Kanadische Rote Kreuz, wo man sich über mehr als 80.000 US-Dollar freuen konnte.

Trotz des guten Zwecks hat die Aktion einen schlechten Nachgeschmack: Wie lange haben Google und HP denn diese 0-Day-Schwachstellen geheim gehalten? Was wäre, wenn die in der Zwischenzeit für Angriffe genutzt worden wären? Es wäre nicht das erste Mal, dass Schwachstellen von den "Guten" und den Cyberkriminellen oder "staatlich gesponserten Angreifern" parallel entdeckt wurden. Google kann da ein Lied von singen, die wurden selbst während der Operation Aurora Opfer eine 0-Day-Schwachstelle im IE, die nicht nur von den Angreifern entdeckt und ausgenutzt, sondern auch von einem Forscher entdeckt und an Microsoft gemeldet worden war. Aber bevor Microsoft den Patch veröffentlichen konnte kam es schon zum Angriff auf Google.

Angeblich wurden die Schwachstellen nicht verheimlicht, sondern Apple und Microsoft mitgeteilt. Aber wann? Immerhin hätten Apple und Microsoft die ja vor dem Wettbewerb patchen können, und die schöne Vorführung wäre ins Wasser gefallen. Also ein gewisses Geschmäckle bleibt da doch. Es wäre doch ein sehr großer Zufall, wenn man die Schwachstellen gerade passend zum Wettbewerb entdeckt hätte.

Pwn2Own - Fröhliches Browser-Versenken

Prinzipiell gilt für die beim Pwn2Own-Wettbewerb genutzten Schwachstellen das gleiche wie für die beim Pwn4Fun: Alle Schwachstellen wurden sehr wahrscheinlich lange vor dem Wettbewerb entdeckt und bis zum Wettbewerb geheim gehalten. Denn wenn die Hersteller darüber informiert werden, könnten sie die Schwachstellen ja bis zum Wettbewerb patchen und die Entdecker gehen leer aus. Zumindest Vupen gibt zu, zwei Monate an den Exploits gearbeitet zu haben.

Also waren da einige Zeit einige kritische Schwachstellen offen, obwohl sie längst hätten gepatcht sein können. Rechtlich ist gegen die Wettbewerbe nichts einzuwenden, moralisch aber wohl doch. Ist es fies, wenn ich hoffe, dass die Sponsoren irgendwann Opfer eines Angriffs auf so eine zurückgehaltene Schwachstelle werden? Dann trifft es immerhin keinen Unschuldigen!

Aber kommen wir zu den ausgenutzten Schwachstellen. Am ersten Tag wurden erfolgreich angegriffen:

  • Mozilla Firefox
    • Ausführung von Code (Jüri Aedla)
    • Ausführung von Code (Team VUPEN)
    • Privilegieneskalation im Browser (Mariusz Mlynski)
    • Umgehen von Schutzmaßnahmen (Mariusz Mlynski)
  • Internet Explorer (Ausbruch aus der Sandbox, Team VUPEN)
  • Adobe Flash (Ausführung von Code, Team VUPEN)
  • Adobe Reader (Ausführung von Code, Team VUPEN)

Am zweiten Tag erwischte es

  • Google Chrome
    • Ausführung von Code (anonymer Teilnehmer)
    • Ausführung von Code (Team VUPEN)
  • Internet Explorer (Ausführung von Code, Sebastian Apelt und Andreas Schmidt)
  • Apple Safari (Ausführung von Code, Liang Chen vom Keen Team)
  • Mozilla Firefox (Ausführung von Code, George Hotz)
  • Adobe Flash (Ausführung von Code, Zeguang Zhao vom team509 und Liang Chen vom Keen Team)

Pwnium - Chrome OS fällt ein Mal

Die Ergebnisse des Pwnium-Wettbewerbs sehen besser aus (wenn auch das offizielle Ergebnis noch auf sich waren lässt): Es gibt lediglich einen erfolgreichen Gewinner. Geohot (George Hotz) gewann 150.000 US-Dollar für eine vollständige Kompromittierung von Chrome OS. Außerdem wurden von Pinkie Pie mehrere Schwachstellen demonstriert, hier wurde die Gewinnsumme noch nicht ermittelt.

Alle Browser sind unsicher

Die Wettbewerbe haben mal wieder gezeigt, das sich alle Browser irgendwie angreifen lassen. Entweder direkt oder über ein PlugIn. Aber das haben ja auch schon die 0-Day-Exploits 2013 gezeigt. Und viele weitere Angriffe.

Aber Moment: Alle Browser? Nein, einer hat sich erfolgreich den Angriffen widersetzt: Ein Exploit für den IE 11 auf einem 64-Bit-System mit installierten Enhanced Mitigation Experience Toolkit (EMET) wurde als Exploit Unicorn gesucht. Aber keinem Teilnehmer gelang es, das Einhorn zu fangen. Ach ja: Auch für Java wurde kein Versuch gestartet, Team Vupen hat den eingereichten Exploit zurück gezogen.

Eine Aussage darüber, welcher Browser am sichersten ist, lässt sich daraus aber nicht ableiten. Verwenden Sie einfach den Browser, mit dem Sie am besten arbeiten können. Sofern es nicht gerade der IE 6 ist - das wäre ja Leichenschänderei! Und dann gilt natürlich immer der altbekannte Rat: Verwenden Sie die aktuellsten Versionen von Betriebssystem und Anwendungen.

Carsten Eilers

Trackbacks

Keine Trackbacks