Der Hacker-Wettbewerb Pwn2Own fand dieses Jahr zum zehnten Mal in Folge statt. Die Zero Day Initiative belohnt dabei Hacker für das Aufspüren und Ausnutzen noch unbekannter Sicherheitslücken – sogenannter Zero-Day-Exploits. Web-Browser sind dabei das häufigste Ziel und dieses Jahr haben sich die Hacker ganz besonders auf Microsoft Edge eingeschossen.
Der neue Windows 10 Browser wurde nach allen Regeln der Hacker-Kunst auseinandergenommen und an drei aufeinanderfolgenden Wettbewerbstagen mehrfach erfolgreich angegriffen. Ein besonders spektakulärer Exploit gelang dabei dem Team von The 360 Security, das Schwachstellen in Edge und VMeare für einen kompletten Ausbruch aus der virtuellen Maschine ausgenutzt hat – eine eigentlich „sichere“ Umgebung, die vom Hauptsystem isoliert sein sollte. Die Code-Demonstration dauert dabei gerade einmal 90 Sekunden. Das brachte dem Team den Sieg nach Punkten und das diesjährige Rekordpreisgeld von 105.000 Dollar.
Die Konkurrenz von Microsoft Edge kam beim Pwn2Own deutlich besser weg. Für Google’s Chrome Browser hatte nur ein einziges Team einen Zero-Day-Exploit dabei – der Angriff blieb jedoch erfolglos . Möglicherweise hatte Google die Sicherheitslücke bereits geschlossen.
Beim Firefox Browser, der eigentlich als einfach zu hacken gilt, wurden insgesamt zwei Zero-Day-Exploits demonstriert. Apples Safari Browser wurde drei Mal erfolgreich gehackt (inklusive root Zugriff), wofür es jeweils eine Belohnung von 35.000$ gab. Bei einem 4. erfolgreichen Exploit wurde eine bereits gemeldete Sicherheitslücke genutzt, weshalb dem erfolgreichen Team nur die Hälfte des Preisgelded zugesprochen wurde.
So übel wie Edge wurde aber keine andere Software von den Hackern zerschossen.
Quelle: zerodayinitiative via WinFuture
xD mehr kann ich nicht sagen xDDD
Sind das Angriffe über das Netzwerk oder Angriffe mit physikalischem Einfluss auf die Maschine?
Sie benutzen einen Hammer und einen Meißel
Das ist eine ernst gemeinte Frage und macht wohl einen Unterschied!
Ich kenne nicht die Details des Wettbewerbs, aber der Angriff begann mit einem „Heap Overflow“, der sich normalerweise auch über das Internet ausführen lässt.
Anderes Thema: Spinnt bei Euch auch die WindowsUnited-LiveTile? – Als dieser Artikel hier eingestellt wurde, zeigte die LiveTile 11 neue Beiträge an.
Spinnt schon den ganzem Tag..
Ist das erst seit heute so?
Bei mir eigentlich seit Vorgestern, sprich, seit dem März-Update. Vorgestern zeigte die Kachel 4 neue Beiträge an, gerade vorhin wie gesagt 11. Dabei checke ich Eure App immer, wenn ein neuer Beitrag erscheint.
( Nachtrag: Trotz 2 Neustarts nach dem Update)
Das letzte Appupdate kam am 24.01. Oder meinst du system updates?
Systemupdate
Seit dem letzten System Update spinnen bei mir generell die Kacheln.
Muss täglich neu starten damit sich zum Beispiel die Outlook Kalender Kachel aktualisiert oder Cortana etwas auf der Kachel anzeigt.
Nach dem obligatorischen Neustart heute Morgen zeigte die WU Kachel bei mir ebenfalls 11 angebliche News an.
(W10M, Lumia 650)
Bei mir auch seit heute. Immer wenn ich entsperre, stand 1 neuer Artikel, obwohl schon (mehrfach) angesehen. Vorhin doch mal Neustart und… wieder 1 neuer Artikel. Aber diesmal war es ein neuer, nämlich dieser hier. Dachte mir, gibt sich schon wieder. (auf 950er)
Kann ich bestätigen (11 neue Aber es war nur 1ner) ist bei mir seit gestern so aber nur mobile nicht auf dem Surface
Ich habe interessanterweise das Problem, dass ich oft keine Benachrichtigungen von wu bekomme. Manchmal klappt’s dann doch mal und dann sehe ich, dass zuvor schon 2 Artikel rauskamen für die ich keine erhalten habe… (950, kein Insider)
Na ja klar versuchen sie es bei edge besonders gern jetzt nachdem er eben als sicherer galt als der rest… Das ist so wenn du berufseinbrechern sagst dieses haus ist schwer zu knacken, natürlich suchen sie schwachstellen ..
Die sache ist nur das diese isolierten geplanten angriffe so gar nichts mit einem live system und live betrieb zu tun haben. Das aufspüren von schwachstellen finde ich sehr sehr wichtig und gut…
Aber es wird halt nir eine 100% sicherheit geben und je mehr fremdprogrammr du nutzt desto leichter wird es
Wie von meinen Händen geschrieben, bin ich der selben Meinung. 👌
Und ich auch
Ja, das ist die Frage.. Die Teams müssen im Vorfeld ja intensiv recherchieren, um die Zero-Day-Exploits zu entdecken. Haben sie bei Edge mehr Schwachstelle gefunden, weil es da mehr zu finden gab, oder weil sie da einfach mehr gesucht haben? Ist mir nicht ganz klar…
Ich bin mir fast sicher, wenn die bei den anderen Browsern den gleichen Aufwand der Suche betrieben hätten, wären sie auch fündig geworden. Für mich ist es immer ein Messen mit zweierlei Maßstäben wenn Microsoft dabei ist.
Wieso? Die hacker sind doch nur am preisgeld interessiert. Wieso sollten sie auch mehr aufwand rein stecken und das gleiche dafür bekommen?
Typische Microsoft Hater …
Was hat das mit Microsoft Hate zu tun? A handelt es sich nicht um Livve Bedingungen, und B Zieht MS daraus nur Vorteile. Sprach das System wird noch sicherer.
Ich finde derlei Wettbewebe nur gut.
Solche Wettbewerbe kann man als User nur begrüßen. Dass Edge dabei im Fokus stand ist gut für Edge. Microsoft wird die Sicherheitslücken ja umgehend schließen. Aber auch marketingmäßig bedeutet das Interesse der Hacker an Edge kein Nachteil für Microsoft.
Wenn ich als normaler User lese, Edge wurde 3 mal schwerwiegend gehackt, Chrome kein einziges mal. Für welchen Browser werde ich mich wohl entscheiden?
Und ob Microsoft diese Sicherheitslücken umgehend schließen wird, wird sich noch zeigen.
In der Vergangenheit war dies nämlich mehrfach nicht der Fall.
Interessanterweise scheinen die Teams alle aus dem asiatischen Raum zu kommen.
Wenn auf dem Schulhof alle auf Hans einprügeln, aber nur einer auf Jens, und ihr nach einer Stunde beide betrachtet, ist euer Fazit auch, dass Jens wohl Schläge besser verträgt, oder?
Ist ja nur folgerichtig. Microsoft bleibt sich eben treu: Das Gros der Neuentwicklungen dient offenbar mehr dazu, technische Möglichkeiten zu skizzieren. Wie ein Malermeister die Auswahl des Porträthintergrundes seinen Schülern überlässt, sollen sich die anderen Entwickler der MS-Vorlage würdig erweisen. Mir ist zwar schleierhaft, wie dieses Konzept im Consumer-Bereich Geld abwerfen soll, aber gut – das ist nicht mein Problem. Keine Ahnung, wieso das gute Publicity für Edge sein soll, wie Turbolizer es behauptet hat (wenn mir die Ironie entgangen ist, bitte ich um Verzeihung). Microsoft hat bei Edge für jeden User einsehbar völlig versagt. Man hatte ja gerade mit… Weiterlesen »
Es trifft offensichtlich nicht nur Edge. Cisco informierte bereits am 8.3. über die Enthüllung eines Hacking-Tools der CIA: http://www.security-insider.de/wikileaks-enthuellt-hacking-tools-der-cia-a-588227/ Gestern warnte Cisco vor einer Zero-Day-Schwachstelle, die das Unternehmen in dem unter dem Link oben schon erwähnten Wikileaks-Unterlagen „Vault 7“ fand: http://www.security-insider.de/cisco-warnt-vor-zero-day-exploit-a-592175/?cmp=nl-36&uuid=4076116B-8F5B-4260-95B9-B54FACAA11BE Die darin erwähnten Kürzel IOS und IOS XE sind nicht zu verwechseln mit dem mobilen Apple-OS iOS. Interessant ist nur die Darstellung einer Fokussierung auf Edge beim Zero-Day, wo es scheinbar noch andere vielleicht sogar brisantere Zusammenhänge zum Thema gibt. Denn Edge ist ja bekanntlich nicht der am meisten verwendete Browser. Wie verbreitet die Cisco Switches sind und was… Weiterlesen »
Soweit ich weiß stand beim diesjährigen Pwn2Own Edge ganz oben auf der Prioritätenliste, da er letztes Jahr noch nicht geknackt werden konnte.
Deshalb bekamen sie dafür auch das Top Preisgeld.
Wenn ich mich recht erinnere hatte gar Microsoft selbst dazu aufgerufen explizit Edge beim Pwn2Own anzugreifen!?