Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 95, views: 55.187 •

Een Frans onderzoeksteam heeft Microsofts Internet Explorer 9 bij de Pwn2Own-wedstrijd gehackt via twee zero-day-kwetsbaarheden. De hack is te vergelijken met die waarmee donderdag Chrome werd geveld en werkt ook op IE6 tot en met 10.

IE9 logo nieuw (met transparantie)De hack maakte gebruik van twee exploits in Internet Explorer zelf, meldt ZDNet. Het Franse team Vupen maakte gebruik van een niet eerder gevonden bug om de beveiligingstechnieken data execution protection en address space layout randomization te omzeilen en een tweede exploit om uit IE's sandbox te ontsnappen. De methode is daarmee vergelijkbaar met de hack waarmee donderdag Google Chrome werd gekraakt.

Voor de hack was geen gebruikershandeling nodig, behalve het bezoeken van een bepaalde website. Zodra dat gebeurde kon elke code worden uitgevoerd. Voor de wedstrijd werd het calc.exe-programma uitgevoerd.

Volgens Vupen zitten de exploits al lang in Internet Explorer, zo lang dat ze ook in IE6 kunnen worden uitgebuit en waarschijnlijk ook in IE10. Het team had naar eigen zeggen twee onderzoekers zes weken lang de browser laten onderzoeken om de exploits te vinden. Vupen gaat enkel de hacks voor dep en aslr vrijgeven. De hack om de sandbox te omzeilen wordt geheim gehouden, om die te kunnen verkopen aan de klanten van het controversiële bedrijf.

De exploit waarmee Google Chrome gisteren nog in vijf minuten werd gehackt in de Pwn2Own-wedstrijd was volgens Justin Schuh van Google een hack op de Flash-plug-in, die standaard in Chrome zit. In de Pwnium-wedstrijd van Google zelf werd nog een exploit in Chrome gevonden, die uitgebuit kon worden door de Rus Sergey Glaznov. Dat beveiligingsprobleem is inmiddels gepatcht. Over welk beveiligingslek het exact ging is niet duidelijk; Google spreekt in de patch van een 'UXSS and bad history navigation'-probleem.

IE9 exploit in pwn2own

Reacties (95)

Zo zie je maar weer het nut van het uitschrijven van hack contests :). Liever een lek dat wordt gevonden op deze manier dan wanneer er daadwerkelijk kwade bedoelingen in het spel zijn.
Ga er maar vanuit dat deze hacks in de underground al misbruikt worden. Het is een soort 'bribe' om de hacks in de openbaarheid te brengen.
De hack zijn ontdekt door een security bedrijf en niet door underground hackers die zich door ene premie hebben laten verleiden.
Mja, ik vind dit bedrijf wel een beetje onguur als ik het zo lees. Het idee om exploits aan je klanten te verkopen vind ik wel heel 'bijzonder'. Als hier al zoveel duizenden euro's mee te verdienen zijn wil ik niet weten wat de klanten van dit bedrijf hier wel niet voor over hebben.
Ach, als je nagaat hoeveel miljoenen er via de normale weg verdiend worden met de betreffende lekke software heb je wel een goeie reden om je af te vragen of die handel in exploits werkelijk een probleem is. Als je het mij vraagt is het een logisch gevolg van andere problemen die de makers van de software zelf veroorzaken. Dat geen enkel stuk software 100% dicht kan zijn is in theorie waar, maar ze maken mij niet wijs dat het echt niet beter kan dan dit. Vooralsnog lijkt het me een ouderwetse geldkwestie.

[Reactie gewijzigd door blorf op 9 maart 2012 17:22]

Mja, ik vind dit bedrijf wel een beetje onguur als ik het zo lees. Het idee om exploits aan je klanten te verkopen vind ik wel heel 'bijzonder'. Als hier al zoveel duizenden euro's mee te verdienen zijn wil ik niet weten wat de klanten van dit bedrijf hier wel niet voor over hebben.
Vind het zelfs medeplichtig zijn aan toekomstige praktijken(zoals computervredebreuks) die door andere worden uitgevoerd die hun de middelen geven om het uit te voeren. Dit roep toch om ingrijpen van de regering, dit kan zoveel burgers raken dat ik vind dat we hier ons tegen moeten beschermen. bedrijven die geld verdienen met voorzien van middelen voor het ontregelen van pc's/computervredebreuks.

Welk bedrijf is het, weet iemand de naam? Ben nieuwsgierig geworden wat voor bedrijf met zoiets inlaat. :D
>> Welk bedrijf is het, weet iemand de naam?
Vupen staat in het artikel.

>> Dit roep toch om ingrijpen van de regering, dit kan zoveel burgers raken dat ik vind dat we hier ons tegen moeten beschermen.
De regering wil zulke hacks hebben. iig Israel/USA zullen erg blij geweest zijn met de hack van de centrifuges. Aangezien overheden meestal niet de slimst hackers in dienst hebben heeft zo'n bedrijf een mooie mogelijkheid geld te verdienen en tegelijk zichzelf te beschermen.
Nee, de hacks zijn bekend gemaakt door het bedrijf. Zoals je kan zien zitten die er al jaren in, dus criminelen kunnen er al jaren gebruik van maken. Bekend maken dat er een lek zit, is niet hetzelfde als de eerste zijn die het lek ontdekt.

Dat is juist het grote gevaar; criminelen rapporteren niks. Die willen dat het blijft zitten dus ze houden het stil. Dus vanzelfsprekend krijg je niet uit die hoek te horen dat het bestaat - dat betekend dus niet dat ze er er mogelijk al lang van op de hoogte zijn en mogelijk al jaren dik geld op verdienen.

[Reactie gewijzigd door Xanaroth op 9 maart 2012 16:54]

Ik las pas nog ergens dat juist dat bedrijf ze verkoopt aan overheden. Weet overigens niet in hoeverre dat correct is.
Dat is correct. Dat staat ook gewoon op hun website. Ze verkopen aan organisaties als geheime diensten.
Nou ja ...

"De hack om de sandbox te omzeilen wordt geheim gehouden, om die te kunnen verkopen aan de klanten van het controversiŽle bedrijf."

De grens tussen hackers en security 'bedrijf' wordt dan wel heel vaag :(
Dat is wat jij denkt ;)
Hoe weet jij dat? Wellicht zijn er ergens anders op de wereld allang hackers mee aan de slag geweest, en wordt het nu door een ander team aan het licht gebracht.
Het je het artikel wel gelezen?

"De hack om de sandbox te omzeilen wordt geheim gehouden, om die te kunnen verkopen aan de klanten van het controversiŽle bedrijf."

Ik weet niet of ik hier blij mee moet zijn...
En wie zijn die klanten dan?
Als het zo publiekelijk bekend is dat zij deze hackmethodes uitvinden en verkopen, waarom is dan een FBI of andere organizatie niet op het idee gekomen om de club op te rollen ala megaupload.
Oh wacht ik weet denk ik al wie de klanten zijn :)
http://www.vupen.com/english/services/lea-index.php
(bezoeken op eigen risico ;))

Ze zeggen het alleen aan landen te verkopen die ze vertrouwen. Dus de FBI zal het idd wel kunnen kopen. Maar wie zegt dat ze het niet verkopen aan China ofzo. Ook al verkopen ze het alleen aan de landen die zij goedkeuren, het blijft een slechte zaak dat ze dit soort dingen Łberhaupt geheim houden.

[Reactie gewijzigd door rikstroink op 9 maart 2012 16:58]

Alsof onze overheid, laat staan die van de VS, te vertrouwen is.....
En wie zijn die klanten dan?
Als het zo publiekelijk bekend is dat zij deze hackmethodes uitvinden en verkopen, waarom is dan een FBI of andere organizatie niet op het idee gekomen om de club op te rollen ala megaupload.
Oh wacht ik weet denk ik al wie de klanten zijn :)
Omdat ze de wetten er niet doorheen krijgen om dat stafbaar te maken. ;) Het is niet illegaal om software te maken om iets te hacken/cracken/etc.

nieuws: Europarlement verzet zich tegen verbod op 'hacktools'

Megaupload is gewoon verboden per wet en daar kan de FBI wat mee, als er geen wet voor is kan er ook niks tegen gedaan worden. Ook in de EU kan er niet opgetreden worden tegen dit soort bedrijven/personen die hackers helpen aan hacksoftware en exploits. Maar praktijken van megaupload is ook hier verboden, hele EU overiegsn en heb ik het alleen nog maar over de illegale bestanden uploaden dienst, rest wat deze personen allemaal op hun kerfstok hebben staan laten we maar even buitenwegen.

[Reactie gewijzigd door mad_max234 op 9 maart 2012 22:17]

Ik weet niet of je dat wel zo stellig kan zeggen. Het plegen van een misdrijf is strafbaar, maar ook het helpen bij het plegen van een misdrijf is strafbaar. Het exclusief verkopen van een exploit aan een enkele koper heeft niet als doel om de beveiliging van een legitiem network te verbeteren. Een exploit die exclusief verkocht wordt heeft slechts een bepaalde waarde omdat de koper daarmee in staat is te hacken. En aangezien het inbreken in computer systemen van anderen een misdaad is help je dus bij het plegen van een misdaad.

Het publiekelijk vekopen van hacktools heeft wel een bepaald nut dat niet illegaal is. Met hacktools kan je namelijk een beveiligings audit doen. Een beveiliger heeft dus net zo'n groot belang bij het kunnen gebruiken van hacktools als de hacker. Het gaat juist om de exclusieviteit van het hebben van een hacktool. Als het mijn doel is om IE in mijn netwerk beter te beveiligen, en ik heb een exclusieve exploit dan werkt het het beste om die exploit openbaar te maken want dan zal Microsoft echt wel actie ondernemen.
Wie geeft jou de garantie dat de afnemer kwade bedoelingen heeft.

Overheid heeft in Nederland bijna een miljoen werknemers, als de helft een account heeft dan hebben we het over 500.000 mensen. Kan me wel voorstellen dat indien een softwarebedrijf zijn lekken niet dicht, een organisatie zelf zijn maatregelen gaat nemen.

Je blijft altijd het probleem houden van het kip of het ei,
bekendmaken en de kans lopen dat veel mensen er ongeoorloofd gebruik van maken,
melden bij softwarebedrijf en er niks voor terugkrijgen.

Niemand is perfect en de wereld draait toch om geld (naast het feit dat het ook om de zon draait :P )
Het is nu in de openbaarheid dat er een hack is en er is enige richting gegeven waar te zoeken het is nog altijd beter dan dat het niet in de openbaarheid komt. Microsoft zal nu extra voortvarend te werk gaan om het lek te dichten.
Helaas zit meerderheid op oude IE versies dat patch niet veel uitmaakt, zullen nog heel veel pc kwetsbaar zijn en misbruikt worden. Helaas kan MS daar niks aan doen.

Wellicht moet MS iets drastischer worden en als IE niet word geupdate zal internet niet werken alleen update pagina. Als er nieuwe update uit is zal je die verplicht moeten downloaden als je online gaat.
Een bedrijf als Vupen verdient aan het verkopen van Hacks. Zij zullen dus geen hacks in de openbaarheid brengen die hun business schaadt. Waarschijnlijk is deze bug al zo bekend bij hun opdrachtgevers dat er geen geld meer mee verdient kan worden en maken ze hem dus nu openbaar. Zodat ze nadat die opgelost is, ze weer een andere bug waarmee hetzelfde bereikt kan worden voor veel geld te koop kunnen aanbieden.

Oftewel: Het openbaar maken van 1 bug is alleen maar een manier om andere bugs te kunnen verkopen :)
idd, deelnemers aan Pwn2Own zijn niet verplicht om te zeggen hoe ze het doen.
De Google versie van Pwn2Own heeft deze regel niet en zijn de deelnemers dus verplicht om aan te geven hoe ze het doen. Dat was ook 1 van de redenen van Google om zelfs zoiets te doen.
Dit is niet volledig juist.

Veel van browsers hebben tegenwoordig een zo geheten Sandbox, een veilige omgeving waarbinnen de browsers zit.
Om een systeem volledig over te nemen zijn er daarom meestal 2 verschillende kwetsbaarheden nodig.

Een om vanaf een kwaadaardige internet pagina binnen te komen in de sandbox op het lokale systeem.
En de tweede, wanneer je dus eenmaal op het lokale systeem aanwezig bent moet je nog dus nog ontsnappen uit de sandbox om daadwerkelijk nuttige dingen te kunnen doen.

Het eerste gat moet Vupen wel degelijk aan ZDI melden om recht te hebben op de bijbehorende punten en dus uiteindelijk kans te maken op de hoofd prijs van $60.000
Het tweede gat hoeft niet, mag wel. De reden hier voor staan uiteengezet in http://dvlabs.tippingpoint.com/blog/2012/02/29/pwn2own-and-pwnium

Kort samengevat: door niet de eis te stellen dat de contestant de sandbox escape vrijgeeft hoopt TippingPoint meer mensen over te halen om mee te doen aan de wedstrijd en daardoor uiteindelijk in staat te zijn om meer gaten te kunnen verhelpen.
Probleem is dat als zo'n bedrijf deze exploits kan vinden, anderen (lees: criminelen, blackhats, terroristen) ze ook kunnen vinden. Het is een stuk makkelijker zoeken naar een speld in een hooiberg als je 100% zeker weet dat er inderdaad een speld ligt.
Zo zie je maar weer het nut van het uitschrijven van hack contests :). Liever een lek dat wordt gevonden op deze manier dan wanneer er daadwerkelijk kwade bedoelingen in het spel zijn.
Helaas klopt je opmerking niet.

Het bedrijf Vupen hoeft geen data te verstrekken, er zal dus niets gepatched worden hierdoor. Ze hebben alleen aangetoond dat er lekken in de omgeving zitten, maar dat kan ik met en zonder glazen bol bij 99% van alle software voorspellen.

In feite is Pwn2Own niet meer dan een marketing programma voor Vupen geweest, de wijze houden ze voor zichzelf om te kunnen verkopen aan partijen die hier misbruik van zullen maken. Het feit dat ze hier 2 ontwikkelaars weken op zetten onderstreept dit ook.
volgens mij loont het om iets scherper te lezen, het bedrijf houdt het belangrijkste deel van de hack geheim om aan klanten te verkopen. Deze klanten zijn onder andere overheden ed zoals te lezen was in het artikel over de chrome hack.
Het enige waar deze hackdag goed voor is is om een gevoel van onveiligheid te generen.
Ben benieuwd naar de overige browsers, wanneer zal Firefox volgen??
Firefox was een dag eerder na Chrome al door Vupen geowned evenals IE8 en Safari
Firefox is nog niet door een 0day ge-pwned, en Safari ook niet.
Maar vandaag is er nog een dag, en grote kans dat iig een van deze 2 alsnog gaat vallen.

De dingen die je over FireFox, IE8 & Safari hebt gelezen slaan niet op 0days. Als onderdeel van de wedstijd moesten de deelnemers exploits schrijven voor oude reeds gepatchte gaten in alle grote browsers.

Deze CVE (Common Vulnerabilities and Exposures) challenges zijn inderdaad grotendeels al door Vupen gedaan.

Voor een volledige lijst van alle challenges zie : http://pwn2own.zerodayinitiative.com/cve.html
Het is niet alsof die hacks nu pas gevonden worden, met die hacks zijn die bedrijven al maanden bezig hoor.. Geen van de hacks is dus nu pas gevonden, ze worden nu pas getoond..
Je hebt gelijk maar Firefox is blijkbaar wel degelijk gehacked door Willem & Vincenzo
http://pwn2own.zerodayinitiative.com/status.html


En inmiddels is ook Chrome voor een derde keer gehacked op CanSecWest.
http://www.zdnet.com/blog...day-vulnerabilities/10649

[Reactie gewijzigd door hAl op 10 maart 2012 08:57]

Ten tijde van schrijven was de informatie correct :)
Tijd om IE5.5 te downloaden en installeren. Hoera terug naar vroeger. :Y)
Of gewoon recentste Opera, K-Meleon of Firefox gebruiken, liefst in een VM.
Om vervolgens de helft van het internet niet meer te kunnen bezoeken.
Of om vervolgens snel geowned te worden omdat 5.5 qua veiligheid (ook) vol met gaten zit.
Of gewoon Google Chrome, want Google had het lek binnen 24 uur gepatcht.
Het lek uit hun eigen Pwnium contest (maar dat was ingestuurd en hadden ze dus mogelijk al langer in hun bezit) hebben ze gepatched maar de Pwn2own lekken nog niet
lezen is een kunst blijkt maar weer.
het artikel dat je linkt gaat over de exploit die de Rus Sergey Glaznov tijdens Pwnium (zie ook laatste alinea van tweakers artikel) had gevonden.

de exploit die Vupen heeft gevonden is niet, en wordt voorlopig ook niet, gedicht.
Het lek wat ze gepatched hebben is het lek wat is gevonden in de Pwnium wedstrijd, waarbij de deelnemers verplicht zijn om aan de fabrikant de werking van de exploit mede te delen.

Bij de Pwn2Own wedstrijd, waar bovenstaande nieuwspost over gaat, bestaat die verplichting niet. Het lek wat daarbij in Chrome is gevonden is daarom ook niet gedicht, en het is ook maar de vraag hoe snel dat zal gebeuren. De Chrome developers zullen het eerst zelf moeten kunnen reproduceren.
Als je toch in een WM gaat draaien maakt het allemaal ook niet meer uit wat je gebruikt :) Zolang je elke keer met een frisse start begint iig!

[Reactie gewijzigd door watercoolertje op 9 maart 2012 16:43]

Als je toch in een WM gaat draaien maakt het allemaal ook niet meer uit wat je gebruikt :)
... Zolang je aanvaller maar niet weet dat je in een VM zit en dŠŠr uit weet te ontsnappen. Als je random code kunt uitvoerenop de gekraakte VM, kun je vanaf daar je hostmachine aanvallen, die mogelijk minder goed beveiligd is tegen aanvallen vanaf een virtuele USB-aansluiting of een virtuele VGA-kaart.
Geweldig initiatief die 'hackdagen'! De veiligheid van de browsende mens kan hier alleen maar mee vooruit gaan. Dit kan ik alleen maar toejuichen.

Wel jammer dat ze niet willen vertellen hoe ze die sandbox hebben ontweken...

edit @hieronder:
Dat juich ik inderdaad zeker niet toe :)
Daarom staat er ook 'jammer'

[Reactie gewijzigd door Egocentrix1 op 9 maart 2012 16:53]

Wel jammer dat ze niet willen vertellen hoe ze die sandbox hebben ontweken...
en nog meer jammer dat ze die details wel willen verkopen aan hun klanten. Juich je dat ook toe?

Of ga je er van uit dat die klanten wel koosher zijn?
Waarom worden google of microsoft dan geen klant van vupen? :-)
Die laten ze geen klant worden want dan maken zij hun markt kleiner.
Zij kunnen juist meer exploits aan overheden en veiligheidsdiensten verkopen als gaten in windows en of andere producten niet gepatched zijn.
Denk dat ze voor calc.exe gingen, anders start er weinig op :p
Op zich wel handig zo'n exploit, als je daarmee op je werk de Chrome browser kan installeren.
@arjankoole: ja, natuurlijk, maar soms kan dat niet, mag je geen programma's installeren.

[Reactie gewijzigd door Soldaatje op 9 maart 2012 16:59]

Op zich wel handig zo'n exploit, als je daarmee op je werk de Chrome browser kan installeren.
Setup.exe downloaden is handiger, denk ik.
Chrome installeert volledig in je gebruikersprofiel. Bewustte zet van Google. Dus goede kans dat t werkt tenzij er restricties zitten op exen.
Ik denk dat je werk niet blij met je is als jij even denkt dat je het beter weet dan een dure afdeling ;) Dat is tenminste hoe ik er over zou denken als ik een berg werknemers had. Natuurlijk is het vannuit ieders perspectief anders, misschien dat je gewoon een RFC naar de beheerder kan sturen en dat het dan opgelost kan worden :) Daar wordt iedereen beter van.
Ik heb versie 9 er terug afgezwierd. Telkens zat IE9 vast. Ben weer terug naar IE8 gegaan en dat draait soepeler en geen vastlopers meer.
Wel interessant dat de Rus die z'n hack op de Google's contest presenteerde meteen 60.000 kon incasseren, terwijl het Franse team bij die andere wedstrijd met lege handen lijkt te staan.

linkje:
http://arstechnica.com/bu...e-plugged-in-24-hours.ars
Niet zo bijzonder, want de voorwaarde om dat geld te krijgen is dat je alle gegevens moet verstrekken, en dat doet Vupen niet omdat ze er mega bucks aan verdienen door de code aan criminelen te verkopen.
en dat doet Vupen niet omdat ze er mega bucks aan verdienen door de code aan criminelen te verkopen.
Lees: aan de overheid
Sommige overheden gedragen zich anders behoorlijk crimineel :+
Zit daar verschil tussen dan?
Oh ja... de overheid maakt de wetten, die kan dat soort dingen ongestraft doen.
De Pwn2own wedstrijd heeft een prijzenfonds van 105.000 dollar en het grootste deel daarvan gaat naar het franse bedrijf Vupen.
Verder houdt Vupen ook nog informatie vast die ze aan hun klanten kunnen leveren en ookdat levert hen geld op.
dus 60 mille is meer dan de eerste prijs bij vupen...
Hopelijk kan Microsoft dit snel patchen!
Denk het niet ze weten het lek namelijk niet, want die wil Vupen gewoono verkopen aan overheden die het wee rkunnen misbruiken om ons wat beter in de gaten te houden :)
...onder het mom van de strijd tegen terrorisme en kinderporno natuurlijk...
En een beetje geld betalen aan die hackers..?
is het niet calc.exe ipv calculator.exe? ;)
yup daarom dat ik dus veilig zit :+

het is calculator (naam v/d shortcut) of calc.exe (het programma)

Op dit item kan niet meer gereageerd worden.