Tretrins-sårbarhedsraket bryder ud gennem browseren og den virtuelle maskine

En kombination af tre sikkerhedshuller har udløst den hidtil største præmie i hackerkonkurrencen Pwn2Own.

Ved hjælp af en kombination af tre sikkerhedshuller lykkedes det et hold af deltagere på hackerkonkurrencen Pwn2Own at bryde ud gennem browseren, styresystemet og den virtuelle maskine og derved kompromittere værtssystemet. Det udløste den hidtil største kontantpræmie i konkurrencen, skriver Ars Technica.

Pwn2Own er en tilbagevendende årlig konkurrence, som bliver afholdt på den canadiske it-sikkerhedskonference, CanSecWest. Konkurrencen skal blandt andet skal hjælpe med at få lukket nye sikkerhedshuller i browsere.

I det konkrete tilfælde skulle hackerne forsøge at angribe Microsofts Edge-browser på Windows 10, som kørte på en VMware Workstation.

I modsætning til forgængeren Internet Explorer, så regnes Edge for at være et svært mål at angribe, men vinderholdet fandt en sårbarhed i Javascript-motoren, hvor et heap overflow gjorde det muligt at slippe ud af browserens kontrollerede miljø.

Typefejl i Windows 10-kerne

Dernæst kunne et andet sikkerhedshul, en typefejl i Windows 10-kernen, udnyttes til at få adgang til at angribe den virtuelle maskine. VMware-maskinen blev angrebet med en sårbarhed i hardwaresimuleringen, hvor en ikke-initialiseret buffer gjorde det muligt at kompromittere den virtuelle maskine.

Dermed fik hackerne adgang til værtsmaskinen. Det er nogenlunde det værste scenarie for virtuelle miljøer, da den kompromitteret værtsmaskine potentielt kan bruges til at kompromittere samtlige virtuelle maskiner på værten, ligesom der potentielt kan være adgang til den infrastruktur, den fysiske maskine indgår i.

Præmien for at bryde ud gennem alle tre lag var på cirka 725.000 kroner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (0)

Kommentarer (0)
Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017

Xena - an innovative force in testing next-generation communications technology

22. aug 2017