Hackere bryder igen ud af Chromes sikre sandkasse

Hackerkonkurrencen Pwn2own har igen haft Google Chrome i søgelyset. Ligesom sidste år er det lykkedes at bryde ud af Chromes beskyttede sandbox-miljø.

Hvis browserproducenterne skal holde øje med én sikkerhedsbegivenhed hvert år, er den årlige hackerkonkurrence Pwn2Own nok ikke noget dårligt bud.

Her er der tradition for at lægge Chrome, Firefox, Internet Explorer og kompagni på pinebænken for at blotlægge sikkerhedshuller i softwaren.

Læs også: Ihærdig indsats gør Chrome til første offer i stor hacker-konkurrence

Og i år er ingen undtagelse, hvor folk fra MWR Labs har fremstillet exploit-kode, der punkterer den indbyggede sandbox-funktionalitet i den seneste stabile udgave af Google Chrome. Sandbox'en er Chromes beskyttede miljø til afvikling af eksempelvis Flash.

»Vi har fremvist et exploit mod hidtil ukendte sårbarheder i Google Chrome på en moderne Windows-bærbar,« skriver MWR Labs i et blogindlæg.

Ikke helt ulig sidste års Chrome-mishandling har hackerne udnyttet en sårbarhed i en renderingsproces til at slippe ud af det sandboxede miljø i Chrome.

Herefter er det lykkedes dem at omgå to af Windows' indbyggede sikkerhedsmekanismer, først ALSR (Address Space Layout Randomisation) og dernæst DEP (Data Execution Prevention), med metoden Return Oriented Exploitation (ROP).

Til sidst er det lykkedes hackerne at eskalere den almindelige brugers rettigheder på maskinen op til administratorniveau ved at udnytte en sårbarhed i Windows-kernen.

Det konkrete exploit demonstrerer altså, hvordan en hacker potentielt set vil kunne opnå fuld kontrol med et intetanende offers pc ved at lede offeret ind på en hjemmeside, hvor fra exploit-koden kan sættes i gang i Chrome.Du kan læse mere i blogindlægget her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolai Hansen

"omgå Windows' sikkerhedsmekanismer DEP og ASLR ved at udnytte sårbarheder i Windows-kernen" - nej, DEP kan omgås ved hjælp af en trick kaldet "ROP", men for at kunne gøre dette (ROP), skal man omgå ASLR, hvilket kan omgås hvis ikke alle elementer i hukommelsen er flyttet tilfældigt rundt.

Når dette så lykkes, så kan koden stadig kun køre med de privilegier brugeren har, hvilket man kan omgå via fejl i Windows-kernen (privilege escalation).

  • 6
  • 0
Jakob Damkjær

Er et lige så showoff arbitrært øjebliks billede som det altid har været...

Men det må være dejligt for Google at få gjort opmærksomt på nogen huller i deres sikkerheds systemer...

Måske kunne de ta de lektier med til android som er blevet hovedperson i en lidt uheldig statistik...

http://m.techcrunch.com/2013/03/07/f-secure-android-accounted-for-79-of-...;

67% af de malware registreringer på molbillplatforme i 2012 af F-Secure med en sigende trend til 96% i december...

  • 2
  • 9
Carsten Jørgensen

hvilket man kan omgå via fejl i Windows-kernen (privilege escalation).

Ja, de udnyttede en 0-day i kernen på Windows 7 - https://twitter.com/mwrlabs/status/309480564665245700/photo/1

Men det må være dejligt for Google at få gjort opmærksomt på nogen huller i deres sikkerheds systemer...

Det vil jeg tro, de er jo sponsor : http://blog.chromium.org/2013/01/show-off-your-security-skills-pwn2own.html

Dagens angreb: 1:30 - Java (James Forshaw) PWNED 2:30 - Java (Joshua Drake) PWNED 3:30 - IE 10 (VUPEN Security) PWNED 4:30 - Chrome (Nils & Jon) PWNED 5:30 - Firefox (VUPEN Security) PWNED 5:31 - Java (VUPEN Security) PWNED (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p...)

Det mest interessante ved konkurrencen er i øvrigt, at ingen gider tjene 65.000 dollars på at viser sårbarheder til Apple Safari på OS X Mountain Lion fordi de kan tjene meget, meget mere ved at sælge sårbarhederne på det åbne marked. Velkommen til 2013.

  • 8
  • 0
Joe Sørensen

Jeg kan godt lide overskriften.

Det er ikke nogen nyhedsværdi i at man har brudt igennem sikkerheden i Javas browser plugin og ej heller sikkerheden i IE 10 og da slet ikke Windows. Tilgengæld, det at de har brudt igennem Chrome, det er en nyhed værd at nævne.

  • 8
  • 1
Jakob Damkjær

Efter hvad jeg har kunne finde frem er det fortrinsvis apps der er blevet installeret udenom Google Play Store m.fl som har ført malmware med sig og de tilfælde af gange hvor det har været apps i Play Store så er problemet blevet løst meget hurtigt.

men alle de android telefoner som google er så glade for at tage med i statestikken (når de skal vise hvor store de er) fra kinas land som ikke benytter google play eller de andre sideloading options ikke er en løsning som indeholder sikkerhed... og den meget ufuldstændige opgradering af android telefoner er en faktor der spiller ind i android platformens sikkerhed generelt.

Derfor er det kun fair at man stiller google til ansvar for dem for det er deres beslutninger der har gjort det muligt at android er den mobile platform som malwaren har taget sigte på for tiden og den fragmentering der eksistere blandt gamle upatchede versioner af android er ikke noget der hjælper platformens sikkerhed...

Man kan ikke få både i pose og i sæk, enten skal man tage ansvar for platformens sikkerhed på den seneste version af android som nogle få procent af android telefoner køre med og kun hvis man benytter google play eller hylde at der er så meget diversitet og mangfold med tilhørende usikkerhed og malware...

  • 1
  • 7
Carsten Jørgensen

Jacob: Hvilken type malware er det antivirus producenten finder, hvor mange drejer det sig om, og hvad er forbindelse til de sårbarheder der præsenteres på pwn2own?

Cool: "Firefox 19 on Windows 7 by using a use-after-free vulnerability and a brand new technique to bypass ASLR/DEP protection on Windows 7 without the need of any ROP (Return-oriented programming)" http://www.net-security.org/secworld.php?id=14563

  • 5
  • 0
Johnnie Hougaard Nielsen

67% af de malware registreringer på molbillplatforme i 2012 af F-Secure med en sigende trend til 96% i december...

Hvis du tager de tal seriøst, fra en som satser på at sælge "medicin", skulle du tænke lidt på et nyttigt koncept som kildekritik.

F-Secure says Android malware is king, but are these reports just FUD?

F-Secure stretches the definition of “malware” to include things like Android test tools (which “may be misused for malicious intent by irresponsible parties”) and “potentially unwanted software,” which could inflate the numbers.

TechCrunch artiklen har også en kommentar fra en som bemærkede at F-Secure især fremviser screenshots fra Android 1.5, 1.6 og 2.0. Altså udgaver som kun er på en meget lille del af mobiltelefoner. Mere generelt savnes info om metodik omkring analyse og hvor de fandt det som de kalder for malware. Ingen argumenter for at hævde at det er noget som rammer typiske Android brugere.

  • 3
  • 0
Jens Lund

@Carsten

Udbredelse af systemer taget i betragtning, skulle man tro der kunne tjenes langt flere penge ved at sælge de andre sårbarheder på det sorte marked end Safari på OS X Mountain Lion, så hvorfor mener du at det netop er den, man vil sælge frem for at vinde en pris for?

Spurgt på en anden måde, er der virkelig færre penge i at sælge sårbarheder af Google Chrome på Windows 7 eller IE 9 på Windows 7 på det sorte marked, end at sælge Safari på OS X Mountain Lion?

  • 3
  • 0
Carsten Jørgensen

Jens: Priserne er afhængige af hvem angriberen kan nå - og de fleste interessante mål sidder jo i virksomheder og organisationer - hvor man normalt bruger IE, ikke Chrome. Til gengæld har de fleste interessante mål en iPhone i øjeblikket.

Hurtig søgning: prisen er steget fra 250.000 dollars til 500.000 dollars. Så når de lever af at sælge sårbarhederne giver det ikke mening kun at få 65.000... http://www.technologyreview.com/view/512031/military-malware-may-have-ki...

Chrome blev i øvrigt opdateret i morges.

  • 1
  • 0
Carsten Jørgensen

Nu er det at have moral jo ikke uforeneligt med at have evner for at bore efter sikkerhedsfejl i software.

Helt sikkert! Det er heller ikke et problem, at man bliver betalt for at finde sikkerhedsfejl, det er hårdt arbejde. Men nogle grupper kan selvfølgelig sammenlignes med våbenhandlere. https://www.securityweek.com/podcast-vupen-ceo-chaouki-bekrar-addresses-...

  • 0
  • 0
Log ind eller Opret konto for at kommentere