Menü

Chrome, Edge, Safari & Co. bei chinesischem Hackerwettbewerb Tianfu Cup gehackt

Beim chinesischen Tianfu Cup 2019 entdeckten Forscher unter anderem Sicherheitslücken in beliebten Browsern, in Adobes Acrobat Reader und VMware ESXi.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 17 Beiträge

(Bild: Twitter / @TianfuCup)

Von

Am vergangenen Wochenende fand in der chinesischen Stadt Chengdu der zweite nationale Hackerwettbewerb Tianfu Cup statt. Dabei traten 17 Hackerteams in parallelen Sessions gegeneinander an. Insgesamt winkten ihnen Prämien in Höhe von 1 Million US-Dollar.

20 Hacks gelangen. An acht Produkten, unter anderem Ubuntu 19.10/CentOS 8 und Windows Server 2019, bissen sich die Teams jedoch die Zähne aus und mussten aufgeben.

2018 verbot die chinesische Regierung seinen Sicherheitsforschern die Teilnahme an internationalen Hacker-Wettbewerben wie Pwn2Own, bei denen sie zuvor oftmals sehr erfolgreich vertreten waren. Als Ersatz wurde der nationale Tianfu Cup ins Leben gerufen und 2018 erstmalig ausgetragen. Mit diesem Wettbewerb will die chinesische Staatsführung seinen Sicherheitsforschern die Möglichkeit geben, ihre Fähigkeiten zu demonstrieren und zu verbessern.

Beim Tianfu Cup werden an zwei Tagen drei voneinander unabhängige und parallel stattfindende Wettbewerbe ausgetragen. Dabei versuchen die Hacker-Teams, bis dato unbekannte Sicherheitslücken in Geräten, Software und Betriebssystemen auszunutzen. Jeder erfolgreiche Hack muss in einem zweiten Durchlauf vor einer Jury erfolgreich wiederholt werden, um im Wettbewerb erfolgreich zu sein und Preisgelder zu kassieren.

Insbesondere häufig verwendete Browser konnten durch die Teams mehrfach erfolgreich über bisher unbekannte Schwachstellen kompromittiert werden:

  • Der Edge-Browser von Microsoft wurde gleich drei Mal gehackt
  • Der Google Chrome-Browser wurde von zwei Teams gehackt
  • Apples Safari-Browser wurde ein Mal erfolgreich angegriffen

Aber auch in weiteren Produkten klafften unbekannte Schwachstellen: Den Sicherheitsteams gelang es weiterhin auch, den Adobe PDF-Reader (sogar zwei Mal) sowie den DLink DIR-878-Router zu kompromittieren.

Gegenüber der IT-News-Website ZDNet gab ein Sprecher des Wettbewerbs an, das sämtliche gefundenen Schwachstellen direkt an die jeweiligen Hersteller gemeldet würden.

Für manche Hacks brauchten die Forscher nur wenige Sekunden. Microsofts Office 365 wurde dabei zwei Mal gehackt. Einen dieser Angriffe schafften die Sicherheitsspezialisten von 360Vulcan in nur 16 Sekunden. Bei Office 365 Pro Plus reichte der Download eines RTF-Dokuments im Edge-Browser, um die Software zu kompromittieren.

Auch der Hack des VMware ESXi-Servers mit Ausbruch aus der VM und Zugriff auf das Host-Betriebssystem gelang dem Sicherheitsforscher @XiaoWe vom chinesischen Sicherheitsunternehmen 360Vulcan in nur 24 Sekunden. Das brachte dem Team insgesamt 200.000 US-Dollar an Prämie ein.

Das von 360Vulcan entsandte Team konnte zudem noch eine Prämie in Höhe von 80.000 US-Dollar für einen Qemu-Hack unter Ubuntu einstreichen. Damit war es – wie schon 2018 – das erfolgreichste Team des Tianfu Cups. (Günter Born) / (ovw)