Tretrins-sårbarhedsraket bryder ud gennem browseren og den virtuelle maskine

En kombination af tre sikkerhedshuller har udløst den hidtil største præmie i hackerkonkurrencen Pwn2Own.

Ved hjælp af en kombination af tre sikkerhedshuller lykkedes det et hold af deltagere på hackerkonkurrencen Pwn2Own at bryde ud gennem browseren, styresystemet og den virtuelle maskine og derved kompromittere værtssystemet. Det udløste den hidtil største kontantpræmie i konkurrencen, skriver Ars Technica.

Pwn2Own er en tilbagevendende årlig konkurrence, som bliver afholdt på den canadiske it-sikkerhedskonference, CanSecWest. Konkurrencen skal blandt andet skal hjælpe med at få lukket nye sikkerhedshuller i browsere.

I det konkrete tilfælde skulle hackerne forsøge at angribe Microsofts Edge-browser på Windows 10, som kørte på en VMware Workstation.

I modsætning til forgængeren Internet Explorer, så regnes Edge for at være et svært mål at angribe, men vinderholdet fandt en sårbarhed i Javascript-motoren, hvor et heap overflow gjorde det muligt at slippe ud af browserens kontrollerede miljø.

Typefejl i Windows 10-kerne

Dernæst kunne et andet sikkerhedshul, en typefejl i Windows 10-kernen, udnyttes til at få adgang til at angribe den virtuelle maskine. VMware-maskinen blev angrebet med en sårbarhed i hardwaresimuleringen, hvor en ikke-initialiseret buffer gjorde det muligt at kompromittere den virtuelle maskine.

Dermed fik hackerne adgang til værtsmaskinen. Det er nogenlunde det værste scenarie for virtuelle miljøer, da den kompromitteret værtsmaskine potentielt kan bruges til at kompromittere samtlige virtuelle maskiner på værten, ligesom der potentielt kan være adgang til den infrastruktur, den fysiske maskine indgår i.

Præmien for at bryde ud gennem alle tre lag var på cirka 725.000 kroner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017