Thema: Safari, IE8 und Firefox gehackt

[SiLæncer]

Bei ausreichendem Anreiz lässt sich jeder Browser knacken. Das bewies die Security-Szene eindrucksvoll im diesjährigen Pwn2own-Wettbewerb auf der Konferenz CanSecWest: Safari, IE8 und Firefox wurden bereits am ersten Tag gekapert; Hacks für iPhone, Blackberry & Co lassen jedoch auf sich warten.

Außer Ruhm und Ehre gibt es bei Pwn2Own auch Handfestes zu gewinnen: Wer als erster über eine Browser-Sicherheitslücke in ein System einbrechen konnte, durfte das Notebook, auf dem Browser lief, behalten; für jede Browser-Lücke gab es außerdem 5000 US-Dollar. Konkret riefen die Tester vom Angreifer vorgegebene URLs auf. Gewonnen hat der Hacker, wenn es ihm gelang, dabei eigenen Code einzuschleusen und im Context des Browsers auszuführen. Das ist quasi die Grundvoraussetzung für eine Übernahme des Systems – im Hacker-Slang wurde es damit ge-pwned.

Charlie Miller brauchte nicht einmal 2 Minuten, um Safari auf einem voll gepatchten Macbook zu kapern. Miller ist kein Unbekannter; der Sicherheitsexperte hatte bereits im vergangenen Jahr einen Preis davongetragen. Safari wurde von "Nils" dann auch noch ein zweites Mal übernommen.

Dieser Nils, der seinen richtigen Namen nicht nennen wollte, sorgte auch für ein weiteres Highlight, indem er Microsofts neues Rennomierstück, Internet Explorer 8 auf Windows 7, knackte – trotz Data Execution Prevention, Adress Space Layout Randomisation und so weiter. Und um den Reigen komplett zu machen, präsentierte Nils auch noch einen Zero-Day-Exploit für Firefox.

Etwas enttäuscht zeigt sich der Konferenzveranstalter darüber, dass es bislang keine erfolgreichen Exploits gegen mobile Geräte zu sehen gab. Immerhin hatte Tipping Point das Preisgeld für einen Einbruch in Blackberry, Android, iPhone, Nokia/Symbian oder Windows Mobile sogar auf 10.000 US-Dollar verdoppelt. Doch noch können die Hersteller nicht aufatmen. Der Wettbewerb läuft heute mit etwas gelockerten Bedingungen weiter und es wird bereits spekuliert, ob Nils heute auch noch einen Exploit für Googles Chrome aus dem Hut zaubert.

Außerdem darf man gespannt sein, wie das Rennen um die ersten Patches ausgeht. Denn konkrete Informationen über die Sicherheitslücken will der Veranstalter Tipping Point im Rahmen seiner Zero Day Initiative an die Hersteller weitergeben und erst veröffentlichen, wenn diese einen Patch bereitstellen.

Quelle : www.heise.de

[SiLæncer]

Microsoft hat bestätigt, dass es sich bei der anlässlich des vom Sicherheitsdienstleister TippingPoint durchgeführten Wettbewerb PWN2OWN ausgenutzten Sicherheitslücke im Internet Explorer 8 um die erste Schwachstelle des neuen Browsers handelt.

Am Donnerstag letzter Woche war es dem deutschen Sicherheitsspezialisten "Nils" gelungen, einen Windows-Laptop mittels Ausnutzung der Schwachstelle im IE8 unter seine Kontrolle zu bringen. Konkrete Details zu der Schwachstelle wurden bisher nicht heraus gegeben.

Wie Terri Forslof von TippingPoint im Weblog des Unternehmens erklärte, bestätigte das Microsoft Security Response Center (MSRC) das Bestehen der Schwachstelle noch in den frühen Morgenstunden des Freitags letzter Woche. Die Microsoft-Sicherheitsexperten hatten die Schwachstelle binnen kürzester Zeit reproduzieren können, heißt es.

Forslof zeigte sich überrascht, dass Microsoft innerhalb von weniger als 12 Stunden nach Bekanntwerden der Schwachstelle bereits ausführliche Gegenmaßnahmen eingeleitet hat. Es handele sich um die erste Schwachstelle, die in der fertigen Version des Internet Explorer 8 gefunden wurde. Ob und wann Microsoft ein entsprechendes Sicherheitsupdate anbieten wird, ist noch unklar.

Quelle : http://winfuture.de

[SiLæncer]

Beim Pwn2own-Wettbewerb auf der Sicherheitskonferenz CanSecWest gab es nach dem Fiasko für die Browser-Hersteller keine weiteren Überraschungen – außer man bewertet das Ausbleiben von Smartphone-Hacks als solche.

Bereits am ersten Tag wurden mit Internet Explorer, Firefox und Safari alle drei großen Browser gekapert; einzig Googles Chrome kam ungeschoren davon. Charlie Miller war das Losglück hold; er durfte als Erster ran und gewann mit einem Zeroday-Exploit für Safari das Macbook, auf dem der Browser lief.

Der eigentliche Held der Veranstaltung war jedoch der bis dahin völlig unbekannte Nils Ich-nenne-meinen-Nachnamen-nicht, der im Handstreich alle drei großen Browser übernahm. Der 25-jährige Student aus Oldenburg finanziert sich sein Studium zum Teil durch das Auffinden und Verkaufen von Sicherheitslücken. Er betrachtet den Auftritt bei der CanSecWest zum Teil auch als Bewerbungspräsentation für die Zeit nach der Abgabe seiner Abschlussarbeit im September. Sein Hauptinteresse sei jedoch, dass Lücken geschlossen würden, erklärte er in einem Interview mit dem US-Newsdienst ZDNet.

Bei einem Vergleich der von ihm demonstrierten Sicherheitslücken siedelt er die Demo mit Internet Explorer 8 auf Windows 7 ganz oben an: Es sei "sehr, sehr schwierig" gewesen, den Fehler verlässlich auszunutzen und Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu umgehen. Weil Windows es so schwer mache, Sicherheitslücken gezielt auszunutzen, habe er die Firefox-Lücke auch lieber auf dem Mac vorgeführt, obwohl der Fehler auch bei der Windows-Version auftritt. Bei Mac OS X gebe es kein ASLR oder DEP. Deshalb könne man den Code einfach in den Speicher einschleusen, ausführen und es funktioniert. Er ist sich da mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig: "Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es harte Arbeit."

Trotz des verdoppelten Preisgeldes von 10 000 US-Dollar gab es während des gesamten Zeitraums keinen einzigen erfolgreichen Angriff auf Smartphones. Sergio Alvarez versuchte sich zwar an einem Blackberry, scheiterte jedoch, weil sein vorbereiteter Exploit auf dem verwendeten Modell nicht funktionierte. Der Angriff eines Unbekannten auf das Symbian-Handy schlug ebenfalls fehl. Der Veranstalter Tipping Point bestätigte allerdings, dass eine der Safari-Lücken durchaus auch auf dem iPhone funktionieren könnte, dass sie aber nicht erneut verwendet werden durfte.

Die Sicherheitsexperten dürfen keine Details zu den verwendeten Sicherheitslücken veröffentlichen. Die Rechte daran haben sie beim Unterschreiben der Teilnahmebedingungen an Tipping Points Zero Day Initiative (ZDI) übertragen. Diese leitet sie dann an die Hersteller weiter und veröffentlicht sie frühestens nachdem dieser einen Patch bereitgestellt hat.

Firmen wie Tipping Point und iDefense zahlen bereits seit einiger Zeit Prämien für Sicherheitslücken, die sie dann an die Hersteller der betroffenen Produkte weiterleiten. Parallel zum Schwarzmarkt der kriminellen Banden und Spione haben sie damit einen legalen Markt geschaffen. Einige Sicherheitsexperten propagieren jetzt auch mit "No more free bugs" folgerichtig das Ende der kostenlosen Dienstleistungen für kommerzielle Firmen.

Quelle : www.heise.de

[SiLæncer]

Wenige Tage, nachdem Microsofts neuestes Renommierstück vorgeführt und gekapert wurde, verkünden die Entwickler den Einbau neuer Schutzmechanismen. Künftig will man das Ausnutzen von Pufferüberläufen deutlich erschweren. Insbesondere kündigen die Entwickler in einem Blog-Eintrag an, dass sie zumindest eine der 2008 von Dowd und Sotirov präsentierten Exploit-Techniken zum Umgehen von Data Execution Prevention (DEP) und Address Space Layout Randomisation (ASLR) verhindern wollen.

Dowd und Sotirov hatten unter anderem gezeigt, wie man über .NET-Programme, die via <Object>-Tag in eine Web-Seite eingebettet werden, Code so einschleusen kann, dass er ausführbar (DEP) ist und man ihn gezielt anspringen kann (ASLR). Das soll jetzt ein nicht näher spezifizierter ".NET MIME Filter" in den Sicherheitszonen für Internet und Eingeschränkte Sites unterbinden.

Im Rahmen des Pwn2own-Wettbewerbs hatte es der mysteriöse Nils geschafft, über einen bislang unbekannten Exploit auf einem Windows-7-System Code in den Internet Explorer 8 einzuschleusen und auszuführen. Details dazu sind nicht bekannt, aber dem Hörensagen nach baute sein Exploit zumindest auf die Techniken von Dowd und Sotirov auf.

In der jüngst veröffentlichten finalen Version des IE8 für Vista soll der Filter laut Microsoft bereits aktiv sein. Warum Nils trotzdem Erfolg hatte, erklärt Jonathan Ness vom MSRC nicht explizit. Dass der Microsoft-Blogger sich auf ein Zitat von Nils bezieht und erklärt, der Filter mache das Exploit-Schreiben jetzt noch ein bisschen schwerer, kann man jedoch eigentlich nur so verstehen, dass er in der bei Pown2own eingesetzten IE8-Version noch nicht vorhanden war.

Interessant ist übrigens auch, dass das Microsoft Security Team heutzutage ganz selbstverständlich ein interessantes Paper verlinkt, das erklärt, wie man Schutzmechanismen in Windows umgehen kann. Noch 2004 beschwerte sich eine Microsoft-Mitarbeiterin recht aufgeregt bei Heise, wir hätten in einer Meldung zum Sasser-Wurm eine "Schritt-für-Schritt-Anleitung für das Ausnutzen des Windows SEH Exploits" veröffentlicht – ob das denn sein müsse? Die Antwort von heise Security lautete damals schon: "Niemandem ist damit gedient, wenn sich solches Wissen nur in den falschen Kreisen ansammelt."

Quelle : www.heise.de