Tianfu Cup 2021: Exchange 2019 und iPhone gehackt

[English]Ich denke, da kommt wohl wieder Arbeit auf die Entwickler bei Apple und Microsoft – sowie in einigen anderen Software-Schmieden zu. Auf dem gerade laufenden Tianfu Cup 2021 gab es erfolgreiche Hacks am laufenden Band. Unter anderem wurde Microsoft Exchange 2019 über einen 0-day-Exploit gehackt – und auch das iPhone mit iOS 15 war vor den Hackern nicht sicher.

Der Tianfu Cup

Der "Tianfu Cup", kurz TFC (International Cracking Competition) ist Chinas größter Hacker-Wettbewerb. Dieser zielt darauf ab, Chinas eigenes "Pwn2Own"-Community aufzubauen. Der Hintergrund: Im Frühjahr 2018 verbot die chinesische Regierung den eigenen Sicherheitsforschern die Teilnahme an im Ausland organisierten Hackerwettbewerben wie Pwn2Own.

Einige Monate später wurde der Tianfu Cup als Reaktion auf das Verbot ins Leben gerufen, um den Forscher die Möglichkeit zu geben, ihre Fähigkeiten zu verbessern. Der erste TFC-Cup fand im Herbst 2018 mit großem Erfolg statt. Dabei hackten die Sicherheitsforscher erfolgreich Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox und andere Produkte.

Beim TMC Cup werden drei unabhängige und parallel stattfindende Wettbewerbe ausgetragen. Die drei parallelen Wettbewerbe umfassen PC, Mobilgeräte und Server, sowie acht Kategorien: Virtualisierungssoftware, Betriebssystemsoftware, Browsersoftware, Bürosoftware, mobile intelligente Endgeräte, Webservice- und Anwendungssoftware, DNS-Servicesoftware und gemeinsame Verwaltungsservicesoftware. Dabei müssen von den Teams bisher nicht bekannte Sicherheitslücken in Produkten, Software und Betriebssystemen wiederholt ausgenutzt werden, um im Wettbewerb erfolgreich zu sein.

Das Preisgeld betrug 2019 insgesamt 1 Million US-Dollar. Ich hatte bereits 2020 im Blog-Beitrag Tianfu Cup Competition: Windows 10, iOS, Chrome, Firefox gehackt über diesen Wettbewerb berichtet. 2021 findet der Tianfu Cup am Samstag, den 16. Oktober und am Sonntag den 17. Oktober statt. Das Preisgeld in diesem Wettbewerb beträgt heuer 1,5 Millionen US-Dollar.

iOS und Exchange Server 2019 gehackt

Zur Zeit dringen nur wenig an Details über die Hacks des ersten Tages und die am heutigen Sonntag laufenden Hacks an die Öffentlichkeit. Aber mir sind bereits zwei Info-Splitter unter die Augen gekommen, die ich hier im Blog mal einstelle.

Am 16. Oktober 2021 ist mir obiger Tweet unter die Augen gekommen. Einem Team ist es gelungen, den Microsoft Exchange Server 2019 binnen nicht mal 5 Minuten zu hacken. Der Tweet besagt, dass der Hack über eine 0-day-Schwachstelle erfolgte, die mit den letzten Exchange-Updates (Sicherheitsupdates für Exchange Server (Oktober 2021)) nicht behoben ist. Sofern mir noch Details unter die Augen kommen, werde ich darüber berichten.

Und in obigem Tweet (vom Kunlun Lab CEO @mj0011sec) heißt es, dass das Team PangU am ersten Tag ein iPhone 13 Pro (mit iOS 15.x) hacken konnte. Das Team kannte einen Remote Jailbreak demonstrieren und hat dafür 300.000 US-Dollar Preisgeld kassiert – in diesem Artikel werden sogar 320.000 US-Dollar angegeben.  Das Team liegt damit auf Platz 1 der Preisgelder. Ein Artikel dazu findet sich hier, allerdings gibt es dort noch keine Details.

Und am 2. Tag des TFC 2021 wurde ein iPhone 13 Pro binnen 15 Sekunden über eine Remote Code Execution im Mobile Safari-Browser vom Team Kunlun Lab gehackt. Auf reddit.com findet sich dieser Post dazu, der unter iPhone XR, iOS 12.4 zu finden ist.

Ergänzung: Obiger Tweet weist jetzt ergänzende Informationen zum TFC 2021 auf. Catalin Cimpanu hat in diesem The Records-Artikel noch einige Informationen zum Contest zusammen getragen. Zudem gibt es diesen Beitrag bei The Hacker News.

Ergänzung: Ein Patch ist seit November 2021 verfügbar, siehe Exchange Server November 2021 Sicherheitsupdates schließen RCE-Schwachstelle CVE-2021-423.