Chrome, Edge, Office, VMware ESXi beim TMC 2019 gehackt

[English]Am Wochenende (16./17. November 2019) fand in China, in der Stadt Chengdu, der TMC 2019 statt. Es handelt sich um einen Hackerwettbewerb (TifanCup 2019), bei dem die besten Hacker-Teams Chinas gegeneinander antreten. Es gab mal wieder eine Menge Hacks bei aktueller Software wie Browser, Office und Virtualisierungslösungen.


Anzeige

Ich bin am späten Sonntag Abend über diesen Tweet auf den mehrtägigen Wettbewerb aufmerksam geworden.

Der TFC-Wettbewerb

Der "Tianfu Cup", kurz TFC (International Cracking Competition) zielt darauf ab, Chinas eigenes "Pwn2Own"-Community aufzubauen. Der Hintergrund: Im Frühjahr 2018 verbot die chinesische Regierung den eigenen Sicherheitsforschern die Teilnahme an im Ausland organisierten Hackerwettbewerben wie Pwn2Own.

Einige Monate später wurde der TianfuCup als Reaktion auf das Verbot ins Leben gerufen, um den Forscher die Möglichkeit zu geben, ihre Fähigkeiten zu verbessern. Der erste TFC-Cup fand im Herbst 2018 mit großem Erfolg statt. Dabei hackten die Sicherheitsforscher erfolgreich Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox und andere Produkte.

Beim TMC Cup werden drei unabhängige und parallel stattfindende Wettbewerbe ausgetragen. Dabei müssen von den Teams bisher nicht bekannte Sicherheitslücken in Produkten, Software und Betriebssystemen wiederholt ausgenutzt werden, um im Wettbewerb erfolgreich zu sein. Das Preisgeld betrug dieses Jahre insgesamt 1 Million US-Dollar.

Erfolgreiche Hacks am laufenden Band

Im Rahmen des zweitägigen Wettbewerbs gab es erfolgreiche Ausbrüche aus virtuellen Maschinen in das Host-Betriebssystem unter VMware EXSi – wobei die Hacker von 360Vulcan ganze 24 Sekunden für den Hack benötigten.

Das brachte dem Hacker 200.000 US $ an Prämie ein. Zwei Teams mussten aber die Versuche, Ubuntu 19.10/CentOS 8 und Windows Server 2019 zu hacken, abbrechen.


Anzeige

Dafür gab es zwei erfolgreiche Angriffe auf PDF-Reader. Von 20 Demontrationen waren 13 sehr erfolgreich und konnten Browser wie Chrome, Edge und Safari hacken. Darunter der erwähnte Adobe PDF-Reader.

Gehackt wurden auch Microsoft Office sowie dLink-Produkte. Catalin Cimpanu  hat das Ganze inzwischen in diesem Tweet zusammen gefasst. Der Gewinner ist das Team von 360Vulcan, die mit dem VMware-hack (200.000 US $) und Qemu unter Ubuntu (80.000 US $) satte Prämien einstrichen.

Mehr Details hat Catalin Cimpanu in diesem ZDNet-Artikel zusammen getragen, wobei aber nichts über die Schwachstellen bekannt wurde.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Hacks, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Chrome, Edge, Office, VMware ESXi beim TMC 2019 gehackt

  1. 1ST1 sagt:

    "wobei aber nichts über die Schwachstellen bekannt wurde" – hoffentlich bleibt das auch so, bis Patches da sind.

  2. Roland Moser sagt:

    Gut zu wissen!
    Und das E-Voting-System der Schweiz ist gemäss dem Bundes-Irrenhaus der Schweiz 100 % sicher. Deshalb soll das E-Voting auch ausgebaut werden. Politische Gerüchte besagen, dass das E-Voting ausgebaut werden soll, weil man damit manipulieren kann, ohne dass man die Manipulation beweisen kann. Und dass auch schon manipuliert wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.