Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 95 reacties, 55.578 views •

Een Frans onderzoeksteam heeft Microsofts Internet Explorer 9 bij de Pwn2Own-wedstrijd gehackt via twee zero-day-kwetsbaarheden. De hack is te vergelijken met die waarmee donderdag Chrome werd geveld en werkt ook op IE6 tot en met 10.

IE9 logo nieuw (met transparantie)De hack maakte gebruik van twee exploits in Internet Explorer zelf, meldt ZDNet. Het Franse team Vupen maakte gebruik van een niet eerder gevonden bug om de beveiligingstechnieken data execution protection en address space layout randomization te omzeilen en een tweede exploit om uit IE's sandbox te ontsnappen. De methode is daarmee vergelijkbaar met de hack waarmee donderdag Google Chrome werd gekraakt.

Voor de hack was geen gebruikershandeling nodig, behalve het bezoeken van een bepaalde website. Zodra dat gebeurde kon elke code worden uitgevoerd. Voor de wedstrijd werd het calc.exe-programma uitgevoerd.

Volgens Vupen zitten de exploits al lang in Internet Explorer, zo lang dat ze ook in IE6 kunnen worden uitgebuit en waarschijnlijk ook in IE10. Het team had naar eigen zeggen twee onderzoekers zes weken lang de browser laten onderzoeken om de exploits te vinden. Vupen gaat enkel de hacks voor dep en aslr vrijgeven. De hack om de sandbox te omzeilen wordt geheim gehouden, om die te kunnen verkopen aan de klanten van het controversiële bedrijf.

De exploit waarmee Google Chrome gisteren nog in vijf minuten werd gehackt in de Pwn2Own-wedstrijd was volgens Justin Schuh van Google een hack op de Flash-plug-in, die standaard in Chrome zit. In de Pwnium-wedstrijd van Google zelf werd nog een exploit in Chrome gevonden, die uitgebuit kon worden door de Rus Sergey Glaznov. Dat beveiligingsprobleem is inmiddels gepatcht. Over welk beveiligingslek het exact ging is niet duidelijk; Google spreekt in de patch van een 'UXSS and bad history navigation'-probleem.

IE9 exploit in pwn2own

Reacties (95)

Reactiefilter:-195093+158+25+30
Moderatie-faq Wijzig weergave
Wat ik weet van Vupen is dat ze voornamelijk gebruik maken van gaten in Flash (en dat zijn er genoeg). Op deze manier laten ze steeds zien dat Chrome, Internet Explorer, Firefox, Opera enz gevoelig zijn voor hun aanvallen terwijl het waarschijnlijker is dat ze slechts een handvol aan (Flash) exploits (misschien zelfs maar 1) hebben.

Vupen geeft nooit informatie over hun hacks, omdat ze deze willen verkopen aan derden (lees overheden die vrijheid wat minder hoog in het vaandel heeft staan). Hierdoor blijven exploits lang ongepatched totdat een willekeurige gebruiker (of Sergey) hiervan een report filed via crbug.

Ergo, elke keer dat je leest dat Vupen een browser snel uit de lucht heeft weten te krijgen en er niet bij vermeld wordt dat het hier mogelijk om steeds dezelfde (Flash) bugs gaat, wordt er eigenlijk reclame gemaakt voor Vupen (want wat knap dat ze steeds nieuwe fouten vinden).

De oplossing vanuit Google, Microsoft enz hiervoor is compleet overstappen op HTML5.

Sergey verdient wel een pluim (en een onwaarschijnlijk hoog geldbedrag). Elke keer dat hij een bug/exploit vindt is dit een nieuwe.

Daarnaast maakt hij hiervan een keurig rapport en verstuurt het naar Google. Nu hij zelf code kan submitten (onderdeel is van de Chrome/Chromium development community) zullen we zijn naam wat minder vaak tegenkomen, maar wow wat een bugreport/prijs.

Eigenlijk zou de wedstrijd dus alleen de browser moeten omvatten. Het is nmlk prima mogelijk om met Internet Explorer 9 (of Chrome/Firefox/Opera/Safari) te browsen zonder flash (scheelt weer al die reclame banners). Dit laat de Ipad al een lange tijd zien.

Eens kijken hoe Vupen het er dan vanaf brengt.
Ik kan je verzekeren dat je de plank volledig misslaat.
De browsers in questie worden kaal geinstaleerd, dus zonder eventuele plugins.

Google Chrome is de enige die standaard met flash komt, maar de rest van de browsers niet.

Het gat in IE wat ze gebruikten was geen flash exploit. Het gat in Chrome mogelijk wel, maar mochten ze vandaag nog Safari of FireFox droppen (wat ze mogelijk gaan doen) dan zal dat ook zonder flash gebeuren.
In mijn stukje staat voornamelijk en (Flash).

Daarnaast sluiten de regels Flash niet uit. Alleen het prijzengeld voor bugs in Flash is lager dan voor bugs die direct op de "kale" browser van toepassing zijn.
De aanvallers gebruikten een heap overflow bug om twee bekende 'beveiligingsmuren', Data Execution Prevention (DEP) en Address space layout randomization (ASLR) te slechten. Daarnaast werd een exploit ingezet om het geheugen te corrumperen waardoor de aanvallers konden uitbreken uit Protected Mode, de sandbox van IE.
Exploit #1 is een heap-overflow bug. Over exploit #2 is niet zoveel bekend (iets met verkopen). Dus ook niet waarin het een bug is.

Het is nmlk goed mogelijk om het geheugen te corrumperen met een Flash bug.
Je haalt de regels voor pwn2own & pwnium door elkaar.

0Days bij pwn2own moeten werken in een kale browser, dus geen flash behalve als dat met de standaard install van de browser mee komt.

Ik kan je verzekeren dat de gaten in IE9 GEEN flash gaten zijn.
Zo zie je maar weer het nut van het uitschrijven van hack contests :). Liever een lek dat wordt gevonden op deze manier dan wanneer er daadwerkelijk kwade bedoelingen in het spel zijn.
Het je het artikel wel gelezen?

"De hack om de sandbox te omzeilen wordt geheim gehouden, om die te kunnen verkopen aan de klanten van het controversiële bedrijf."

Ik weet niet of ik hier blij mee moet zijn...
idd, deelnemers aan Pwn2Own zijn niet verplicht om te zeggen hoe ze het doen.
De Google versie van Pwn2Own heeft deze regel niet en zijn de deelnemers dus verplicht om aan te geven hoe ze het doen. Dat was ook 1 van de redenen van Google om zelfs zoiets te doen.
Dit is niet volledig juist.

Veel van browsers hebben tegenwoordig een zo geheten Sandbox, een veilige omgeving waarbinnen de browsers zit.
Om een systeem volledig over te nemen zijn er daarom meestal 2 verschillende kwetsbaarheden nodig.

Een om vanaf een kwaadaardige internet pagina binnen te komen in de sandbox op het lokale systeem.
En de tweede, wanneer je dus eenmaal op het lokale systeem aanwezig bent moet je nog dus nog ontsnappen uit de sandbox om daadwerkelijk nuttige dingen te kunnen doen.

Het eerste gat moet Vupen wel degelijk aan ZDI melden om recht te hebben op de bijbehorende punten en dus uiteindelijk kans te maken op de hoofd prijs van $60.000
Het tweede gat hoeft niet, mag wel. De reden hier voor staan uiteengezet in http://dvlabs.tippingpoint.com/blog/2012/02/29/pwn2own-and-pwnium

Kort samengevat: door niet de eis te stellen dat de contestant de sandbox escape vrijgeeft hoopt TippingPoint meer mensen over te halen om mee te doen aan de wedstrijd en daardoor uiteindelijk in staat te zijn om meer gaten te kunnen verhelpen.
Het is nu in de openbaarheid dat er een hack is en er is enige richting gegeven waar te zoeken het is nog altijd beter dan dat het niet in de openbaarheid komt. Microsoft zal nu extra voortvarend te werk gaan om het lek te dichten.
Helaas zit meerderheid op oude IE versies dat patch niet veel uitmaakt, zullen nog heel veel pc kwetsbaar zijn en misbruikt worden. Helaas kan MS daar niks aan doen.

Wellicht moet MS iets drastischer worden en als IE niet word geupdate zal internet niet werken alleen update pagina. Als er nieuwe update uit is zal je die verplicht moeten downloaden als je online gaat.
Een bedrijf als Vupen verdient aan het verkopen van Hacks. Zij zullen dus geen hacks in de openbaarheid brengen die hun business schaadt. Waarschijnlijk is deze bug al zo bekend bij hun opdrachtgevers dat er geen geld meer mee verdient kan worden en maken ze hem dus nu openbaar. Zodat ze nadat die opgelost is, ze weer een andere bug waarmee hetzelfde bereikt kan worden voor veel geld te koop kunnen aanbieden.

Oftewel: Het openbaar maken van 1 bug is alleen maar een manier om andere bugs te kunnen verkopen :)
En wie zijn die klanten dan?
Als het zo publiekelijk bekend is dat zij deze hackmethodes uitvinden en verkopen, waarom is dan een FBI of andere organizatie niet op het idee gekomen om de club op te rollen ala megaupload.
Oh wacht ik weet denk ik al wie de klanten zijn :)
http://www.vupen.com/english/services/lea-index.php
(bezoeken op eigen risico ;))

Ze zeggen het alleen aan landen te verkopen die ze vertrouwen. Dus de FBI zal het idd wel kunnen kopen. Maar wie zegt dat ze het niet verkopen aan China ofzo. Ook al verkopen ze het alleen aan de landen die zij goedkeuren, het blijft een slechte zaak dat ze dit soort dingen überhaupt geheim houden.

[Reactie gewijzigd door rikstroink op 9 maart 2012 16:58]

Alsof onze overheid, laat staan die van de VS, te vertrouwen is.....
En wie zijn die klanten dan?
Als het zo publiekelijk bekend is dat zij deze hackmethodes uitvinden en verkopen, waarom is dan een FBI of andere organizatie niet op het idee gekomen om de club op te rollen ala megaupload.
Oh wacht ik weet denk ik al wie de klanten zijn :)
Omdat ze de wetten er niet doorheen krijgen om dat stafbaar te maken. ;) Het is niet illegaal om software te maken om iets te hacken/cracken/etc.

nieuws: Europarlement verzet zich tegen verbod op 'hacktools'

Megaupload is gewoon verboden per wet en daar kan de FBI wat mee, als er geen wet voor is kan er ook niks tegen gedaan worden. Ook in de EU kan er niet opgetreden worden tegen dit soort bedrijven/personen die hackers helpen aan hacksoftware en exploits. Maar praktijken van megaupload is ook hier verboden, hele EU overiegsn en heb ik het alleen nog maar over de illegale bestanden uploaden dienst, rest wat deze personen allemaal op hun kerfstok hebben staan laten we maar even buitenwegen.

[Reactie gewijzigd door mad_max234 op 9 maart 2012 22:17]

Ik weet niet of je dat wel zo stellig kan zeggen. Het plegen van een misdrijf is strafbaar, maar ook het helpen bij het plegen van een misdrijf is strafbaar. Het exclusief verkopen van een exploit aan een enkele koper heeft niet als doel om de beveiliging van een legitiem network te verbeteren. Een exploit die exclusief verkocht wordt heeft slechts een bepaalde waarde omdat de koper daarmee in staat is te hacken. En aangezien het inbreken in computer systemen van anderen een misdaad is help je dus bij het plegen van een misdaad.

Het publiekelijk vekopen van hacktools heeft wel een bepaald nut dat niet illegaal is. Met hacktools kan je namelijk een beveiligings audit doen. Een beveiliger heeft dus net zo'n groot belang bij het kunnen gebruiken van hacktools als de hacker. Het gaat juist om de exclusieviteit van het hebben van een hacktool. Als het mijn doel is om IE in mijn netwerk beter te beveiligen, en ik heb een exclusieve exploit dan werkt het het beste om die exploit openbaar te maken want dan zal Microsoft echt wel actie ondernemen.
Wie geeft jou de garantie dat de afnemer kwade bedoelingen heeft.

Overheid heeft in Nederland bijna een miljoen werknemers, als de helft een account heeft dan hebben we het over 500.000 mensen. Kan me wel voorstellen dat indien een softwarebedrijf zijn lekken niet dicht, een organisatie zelf zijn maatregelen gaat nemen.

Je blijft altijd het probleem houden van het kip of het ei,
bekendmaken en de kans lopen dat veel mensen er ongeoorloofd gebruik van maken,
melden bij softwarebedrijf en er niks voor terugkrijgen.

Niemand is perfect en de wereld draait toch om geld (naast het feit dat het ook om de zon draait :P )
Probleem is dat als zo'n bedrijf deze exploits kan vinden, anderen (lees: criminelen, blackhats, terroristen) ze ook kunnen vinden. Het is een stuk makkelijker zoeken naar een speld in een hooiberg als je 100% zeker weet dat er inderdaad een speld ligt.
Ga er maar vanuit dat deze hacks in de underground al misbruikt worden. Het is een soort 'bribe' om de hacks in de openbaarheid te brengen.
De hack zijn ontdekt door een security bedrijf en niet door underground hackers die zich door ene premie hebben laten verleiden.
Mja, ik vind dit bedrijf wel een beetje onguur als ik het zo lees. Het idee om exploits aan je klanten te verkopen vind ik wel heel 'bijzonder'. Als hier al zoveel duizenden euro's mee te verdienen zijn wil ik niet weten wat de klanten van dit bedrijf hier wel niet voor over hebben.
Ach, als je nagaat hoeveel miljoenen er via de normale weg verdiend worden met de betreffende lekke software heb je wel een goeie reden om je af te vragen of die handel in exploits werkelijk een probleem is. Als je het mij vraagt is het een logisch gevolg van andere problemen die de makers van de software zelf veroorzaken. Dat geen enkel stuk software 100% dicht kan zijn is in theorie waar, maar ze maken mij niet wijs dat het echt niet beter kan dan dit. Vooralsnog lijkt het me een ouderwetse geldkwestie.

[Reactie gewijzigd door blorf op 9 maart 2012 17:22]

Mja, ik vind dit bedrijf wel een beetje onguur als ik het zo lees. Het idee om exploits aan je klanten te verkopen vind ik wel heel 'bijzonder'. Als hier al zoveel duizenden euro's mee te verdienen zijn wil ik niet weten wat de klanten van dit bedrijf hier wel niet voor over hebben.
Vind het zelfs medeplichtig zijn aan toekomstige praktijken(zoals computervredebreuks) die door andere worden uitgevoerd die hun de middelen geven om het uit te voeren. Dit roep toch om ingrijpen van de regering, dit kan zoveel burgers raken dat ik vind dat we hier ons tegen moeten beschermen. bedrijven die geld verdienen met voorzien van middelen voor het ontregelen van pc's/computervredebreuks.

Welk bedrijf is het, weet iemand de naam? Ben nieuwsgierig geworden wat voor bedrijf met zoiets inlaat. :D
>> Welk bedrijf is het, weet iemand de naam?
Vupen staat in het artikel.

>> Dit roep toch om ingrijpen van de regering, dit kan zoveel burgers raken dat ik vind dat we hier ons tegen moeten beschermen.
De regering wil zulke hacks hebben. iig Israel/USA zullen erg blij geweest zijn met de hack van de centrifuges. Aangezien overheden meestal niet de slimst hackers in dienst hebben heeft zo'n bedrijf een mooie mogelijkheid geld te verdienen en tegelijk zichzelf te beschermen.
Ik las pas nog ergens dat juist dat bedrijf ze verkoopt aan overheden. Weet overigens niet in hoeverre dat correct is.
Dat is correct. Dat staat ook gewoon op hun website. Ze verkopen aan organisaties als geheime diensten.
Nee, de hacks zijn bekend gemaakt door het bedrijf. Zoals je kan zien zitten die er al jaren in, dus criminelen kunnen er al jaren gebruik van maken. Bekend maken dat er een lek zit, is niet hetzelfde als de eerste zijn die het lek ontdekt.

Dat is juist het grote gevaar; criminelen rapporteren niks. Die willen dat het blijft zitten dus ze houden het stil. Dus vanzelfsprekend krijg je niet uit die hoek te horen dat het bestaat - dat betekend dus niet dat ze er er mogelijk al lang van op de hoogte zijn en mogelijk al jaren dik geld op verdienen.

[Reactie gewijzigd door Xanaroth op 9 maart 2012 16:54]

Nou ja ...

"De hack om de sandbox te omzeilen wordt geheim gehouden, om die te kunnen verkopen aan de klanten van het controversiële bedrijf."

De grens tussen hackers en security 'bedrijf' wordt dan wel heel vaag :(
Dat is wat jij denkt ;)
Hoe weet jij dat? Wellicht zijn er ergens anders op de wereld allang hackers mee aan de slag geweest, en wordt het nu door een ander team aan het licht gebracht.
Zo zie je maar weer het nut van het uitschrijven van hack contests :). Liever een lek dat wordt gevonden op deze manier dan wanneer er daadwerkelijk kwade bedoelingen in het spel zijn.
Helaas klopt je opmerking niet.

Het bedrijf Vupen hoeft geen data te verstrekken, er zal dus niets gepatched worden hierdoor. Ze hebben alleen aangetoond dat er lekken in de omgeving zitten, maar dat kan ik met en zonder glazen bol bij 99% van alle software voorspellen.

In feite is Pwn2Own niet meer dan een marketing programma voor Vupen geweest, de wijze houden ze voor zichzelf om te kunnen verkopen aan partijen die hier misbruik van zullen maken. Het feit dat ze hier 2 ontwikkelaars weken op zetten onderstreept dit ook.
volgens mij loont het om iets scherper te lezen, het bedrijf houdt het belangrijkste deel van de hack geheim om aan klanten te verkopen. Deze klanten zijn onder andere overheden ed zoals te lezen was in het artikel over de chrome hack.
Het enige waar deze hackdag goed voor is is om een gevoel van onveiligheid te generen.
Wel interessant dat de Rus die z'n hack op de Google's contest presenteerde meteen 60.000 kon incasseren, terwijl het Franse team bij die andere wedstrijd met lege handen lijkt te staan.

linkje:
http://arstechnica.com/bu...e-plugged-in-24-hours.ars
Niet zo bijzonder, want de voorwaarde om dat geld te krijgen is dat je alle gegevens moet verstrekken, en dat doet Vupen niet omdat ze er mega bucks aan verdienen door de code aan criminelen te verkopen.
en dat doet Vupen niet omdat ze er mega bucks aan verdienen door de code aan criminelen te verkopen.
Lees: aan de overheid
Sommige overheden gedragen zich anders behoorlijk crimineel :+
Zit daar verschil tussen dan?
Oh ja... de overheid maakt de wetten, die kan dat soort dingen ongestraft doen.
De Pwn2own wedstrijd heeft een prijzenfonds van 105.000 dollar en het grootste deel daarvan gaat naar het franse bedrijf Vupen.
Verder houdt Vupen ook nog informatie vast die ze aan hun klanten kunnen leveren en ookdat levert hen geld op.
dus 60 mille is meer dan de eerste prijs bij vupen...
Vraag me af wat voor klanten dat bedrijf heeft ;) FBI, CIA, overheidsinstellingen? Of verdwijnt deze waardevolle kennis ergens in China, Rusland en wat voor bedragen kan je voor zulke exploits krijgen?
wat dacht je van de makers van stuxnet of duqu.
Goed dat dit wordt gedaan, slecht dat niet alles openbaar gemaakt wordt.
Waarschijnlijk krijgen ze er een hoop meer voor dan de 10.000 dollar die google geeft.
Aannemelijk vergelijkbare klanten als die van STRATFOR.

http://wikileaks.org/the-gifiles.html
Geweldig initiatief die 'hackdagen'! De veiligheid van de browsende mens kan hier alleen maar mee vooruit gaan. Dit kan ik alleen maar toejuichen.

Wel jammer dat ze niet willen vertellen hoe ze die sandbox hebben ontweken...

edit @hieronder:
Dat juich ik inderdaad zeker niet toe :)
Daarom staat er ook 'jammer'

[Reactie gewijzigd door Egocentrix1 op 9 maart 2012 16:53]

Wel jammer dat ze niet willen vertellen hoe ze die sandbox hebben ontweken...
en nog meer jammer dat ze die details wel willen verkopen aan hun klanten. Juich je dat ook toe?

Of ga je er van uit dat die klanten wel koosher zijn?
Waarom worden google of microsoft dan geen klant van vupen? :-)
Die laten ze geen klant worden want dan maken zij hun markt kleiner.
Zij kunnen juist meer exploits aan overheden en veiligheidsdiensten verkopen als gaten in windows en of andere producten niet gepatched zijn.
Correct me if I'm wrong, maar kan ik hier uit opmaken dat IE9 in 6 weken is gekraakt, en Chrome in 5 minuten?

Zo ja, dan is dat best een veer in de reet van Microsoft, of eigenlijk een flinke blamage voor Google.
chrome is ook niet in 5 minuten gehackt, als je het artikel gelezen had, had je dat geweten ;)

het schrijven van de code zelf kon wel eens in 5 minuten klaar zijn, maar er zijn, net als bij deze internet explorer hack, ook weken aan voorafgegaan.
De manier hoe vupen dit aanpakt (wel zeggen dát het gehackt is, en niks laten patchen. Is dus niet meer de white-hat mentaliteit van vroeger meer maar gaat al behoorlijk de black-hat kant op) is alleen maar reclame voor zichzelf. Ze geven geen details tenzij je klant van het bedrijf bent.
Ik weet niet of dat reclame is, meer een soort van het boeit ons niet wat er met jullie computers gebeurd als wij maar geld verdienen door onze code aan spionage organisaties te verkopen. Geen positieve reclame iig.
Hele goede reclame, nu weet ik eindelijk waar ik de beste exploits kan kopen :Y).
Correct me if I'm wrong, maar kan ik hier uit opmaken dat IE9 in 6 weken is gekraakt, en Chrome in 5 minuten?

Zo ja, dan is dat best een veer in de reet van Microsoft, of eigenlijk een flinke blamage voor Google.
Nou, zal ik jou even correcten dan:

De hack van Chrome was voor de Pwn2Own wedstrijd ook al uitgezocht, net als die van IE9. Dus nee, IE is niet veiliger dan Chrome.
Correct me if I'm wrong, maar kan ik hier uit opmaken dat IE9 in 6 weken is gekraakt, en Chrome in 5 minuten?
Bij deze corrigeer ik je, ook bij Google Chrome was 6 weken voorbereiding nodig, maar het titel van dat artikel vertekend het beeld enorm, met dank aan tweakers :)

[Reactie gewijzigd door watercoolertje op 9 maart 2012 17:07]

Denk dat ze voor calc.exe gingen, anders start er weinig op :p
Hopelijk kan Microsoft dit snel patchen!
Denk het niet ze weten het lek namelijk niet, want die wil Vupen gewoono verkopen aan overheden die het wee rkunnen misbruiken om ons wat beter in de gaten te houden :)
...onder het mom van de strijd tegen terrorisme en kinderporno natuurlijk...
En een beetje geld betalen aan die hackers..?
Het is goed dat Google dit jaar geen geldbedrag tegenover een Chrome hack heeft gezet in de Pwn2own wedstrijd, maar dat ze hebben gekozen voor hun eigen variant Pwnium waarbij het wel een verplichting is de gebruikte hack vrij te geven.
Over Chrome :
Blog :
http://googlechromereleas...table-channel-update.html

"Google heeft een lek in browser Chrome dat ontdekt werd tijdens een hackwedstrijd binnen 24 uur gedicht."
Gevonden via :
http://www.nu.nl/internet...chrome-binnen-24-uur.html

[Reactie gewijzigd door Modest71 op 9 maart 2012 19:13]

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True