[English]Am Wochenende (16./17. November 2019) fand in China, in der Stadt Chengdu, der TMC 2019 statt. Es handelt sich um einen Hackerwettbewerb (TifanCup 2019), bei dem die besten Hacker-Teams Chinas gegeneinander antreten. Es gab mal wieder eine Menge Hacks bei aktueller Software wie Browser, Office und Virtualisierungslösungen.
Anzeige
Ich bin am späten Sonntag Abend über diesen Tweet auf den mehrtägigen Wettbewerb aufmerksam geworden.
Some number reviews for the two-day #TFC 2019 PWN contest:
17 teams delivered 28 on-site demonstrations with 20 successful and 8 failed
11 teams have gained bonus
8 targets been taken down
Total bounty of $545,000 awarded!Thanks everyone for participating! pic.twitter.com/k9voEyNHlg
— TianfuCup (@TianfuCup) November 17, 2019
Der TFC-Wettbewerb
Der "Tianfu Cup", kurz TFC (International Cracking Competition) zielt darauf ab, Chinas eigenes "Pwn2Own"-Community aufzubauen. Der Hintergrund: Im Frühjahr 2018 verbot die chinesische Regierung den eigenen Sicherheitsforschern die Teilnahme an im Ausland organisierten Hackerwettbewerben wie Pwn2Own.
Einige Monate später wurde der TianfuCup als Reaktion auf das Verbot ins Leben gerufen, um den Forscher die Möglichkeit zu geben, ihre Fähigkeiten zu verbessern. Der erste TFC-Cup fand im Herbst 2018 mit großem Erfolg statt. Dabei hackten die Sicherheitsforscher erfolgreich Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox und andere Produkte.
Beim TMC Cup werden drei unabhängige und parallel stattfindende Wettbewerbe ausgetragen. Dabei müssen von den Teams bisher nicht bekannte Sicherheitslücken in Produkten, Software und Betriebssystemen wiederholt ausgenutzt werden, um im Wettbewerb erfolgreich zu sein. Das Preisgeld betrug dieses Jahre insgesamt 1 Million US-Dollar.
Erfolgreiche Hacks am laufenden Band
Im Rahmen des zweitägigen Wettbewerbs gab es erfolgreiche Ausbrüche aus virtuellen Maschinen in das Host-Betriebssystem unter VMware EXSi – wobei die Hacker von 360Vulcan ganze 24 Sekunden für den Hack benötigten.
Verified to be a success! Congrats to 360Vulcan @XiaoWei__ on wining $200,000 – the highest bonus of #TFC 2019! https://t.co/xYqlhMJj7W
— TianfuCup (@TianfuCup) November 17, 2019
Das brachte dem Hacker 200.000 US $ an Prämie ein. Zwei Teams mussten aber die Versuche, Ubuntu 19.10/CentOS 8 und Windows Server 2019 zu hacken, abbrechen.
Anzeige
Dafür gab es zwei erfolgreiche Angriffe auf PDF-Reader. Von 20 Demontrationen waren 13 sehr erfolgreich und konnten Browser wie Chrome, Edge und Safari hacken. Darunter der erwähnte Adobe PDF-Reader.
Brief review for #TFC Day 1:
20 demonstrations, with 13 being successful, 5 teams gained bonus.
6 targets were taken down #Edge, #Chrome, #Safari, #Adobe PDF Reader, #Office365, #DLink, #Ubuntu + qemu-kvm
Come back tomorrow at 9am! pic.twitter.com/LVYjPxilpX— TianfuCup (@TianfuCup) November 16, 2019
Gehackt wurden auch Microsoft Office sowie dLink-Produkte. Catalin Cimpanu hat das Ganze inzwischen in diesem Tweet zusammen gefasst. Der Gewinner ist das Team von 360Vulcan, die mit dem VMware-hack (200.000 US $) und Qemu unter Ubuntu (80.000 US $) satte Prämien einstrichen.
Chrome, Edge, Safari hacked at Tianfu Cup, China's elite hacking competition
– (old) Edge hacked 3 times
– Chrome twice
– Safari once
– Office 365 hacked in 16 seconds
– 32 sessions announced: 13 successful, 7 failed, 12 abandonedhttps://t.co/0aA8C06xxx pic.twitter.com/ltD1SnH4tt— Catalin Cimpanu (@campuscodi) November 17, 2019
Mehr Details hat Catalin Cimpanu in diesem ZDNet-Artikel zusammen getragen, wobei aber nichts über die Schwachstellen bekannt wurde.
2015
"wobei aber nichts über die Schwachstellen bekannt wurde" – hoffentlich bleibt das auch so, bis Patches da sind.
Gut zu wissen!
Und das E-Voting-System der Schweiz ist gemäss dem Bundes-Irrenhaus der Schweiz 100 % sicher. Deshalb soll das E-Voting auch ausgebaut werden. Politische Gerüchte besagen, dass das E-Voting ausgebaut werden soll, weil man damit manipulieren kann, ohne dass man die Manipulation beweisen kann. Und dass auch schon manipuliert wurde.