Beheer

Security
Chrome

Chinese hackers kraken Chrome, Safari en Edge met zero days

Team 360Vulcan wint Chinese hackwedstrijd met onbekende kwetsbaarheden.

© Google
21 november 2019

Team 360Vulcan wint Chinese hackwedstrijd met onbekende kwetsbaarheden.

De browsers Chrome, Edge en Safari zijn tijdens een Chinese hackwedstrijd het slachtoffer geworden van diverse hacks. In de wedstrijd, de Tianfu Cup, gebruiken beveiligingsonderzoekers kwetsbaarheden die niet eerder gezien werden om diverse doelwitten te kraken. Het team 360Vulcan won de wedstrijd en ontving in totaal 382.500 dollar (ongeveer 345.000 euro)

De wedstrijd vond op 16 en 17 november plaats en had diverse populaire applicaties als doelwit. Naast de browsers Chrome, Edge en Safari richtten de deelnemende onderzoekers hun pijlen ook op onder meer Microsoft Office 365 ProPlus, Adobe PDF Reader, de iPhone 11 Pro met iOS 13, qemu-kvm op Ubuntu en de router D-Link DIR-878.

Weten de onderzoekers de applicaties te kraken met zero days, dan verdienen ze punten die in een algemeen klassement komen en geld. Een succesvolle aanval op Microsoft Office 365 ProPlus is bijvoorbeeld 80.000 dollar waard. 

Alle drie de browsers gekraakt

Op de eerste dag van de wedstrijd vonden al veel succesvolle aanvallen plaats, schrijft Threatpost. Een oudere versie van Microsoft Edge op basis van EdgeHTML werd het slachtoffer van drie verschillende aanvallen. Eén daarvan was van 360Vulcan, de andere twee van ddd team en Team . (dot). Chrome werd twee keer aangevallen - door ddd team en Team 0x34567a61 - en Safari slechts één keer, namelijk door StackLeader.

Opvallend is dat lang niet alle browsers op de markt als doelwit waren aangemerkt. Mozilla's Firefox ontbrak bijvoorbeeld, evenals Opera, Brave en Internet Explorer. Hoe de doelen voor de wedstrijd precies worden gekozen, is onduidelijk. 

Op de eerste dag werd verder de DIR-878 router van D-Link drie keer gehackt en ook qemu-kvm op Ubuntu werd gekraakt. Op dag twee wisten nog eens vier teams de router van D-Link te hacken en twee andere teams kraakten Adobe PDF Reader. Ook waren er twee succesvolle aanvallen tegen VMware. 

360Vulcan wint grootste prijs

De grootste geldprijs van het evenement, namelijk 200.000 dollar voor het succesvol kraken van VMware Workstation/ESXi, ging naar Xiao Wei van Team 360Vulcan. Dat team kwam ook als grote winnaar uit de bus voor het gehele evenement en mocht 382.500 dollar mee naar huis nemen. 360Vulcan won eerder al Pwn2Own, een vergelijkbaar hackevenement. 

Overigens waren lang niet alle aanvallen succesvol. Op de tweede dag moesten de hackers bijvoorbeeld toegeven dat acht van de zestien hackpogingen mislukt waren. 

Lees meer over
Lees meer over Beheer OP AG Intelligence
1
Reacties
Bop 22 november 2019 21:21

'Security' is een soort veiligheid/beveiliging, zeg maar.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.