Der Pwn2Own-Wettbewerb 2010 und die sich darauf ergebenden Folgerungen sind ein Thema dieses Standpunkt Sicherheit, Microsofts reguläre und außerplanmäßige Patchdays ein weiteres.

Pwn2Own im Sande verlaufen?

Zwar steht schon in der Bibel sinngemäß, dass die ersten die letzten sein werden, aber ich glaube nicht, dass man damals schon an die Berichte über den Pwn2Own-Wettbewerb 2010 gedacht hat. Denn da ist genau das passiert: Die ersten Berichte, d.h. die über die Ergebnisse des 1. Tags, waren auch die letzten, die darüber veröffentlicht wurden. War die Luft danach raus? Einige Tweets der Zero Day Initiative lassen das vermuten:

Chrome war das letzte potentielle Opfer, am zweiten Tag gab es keine Versuche mit Chrome, aber eine Ankündigung für das Nokia-Smartphone, passiert ist aber nichts. Alle registrierten Teilnehmer starteten am 1. Tag, danach gab es keine weiteren Interessenten, und daran scheint sich nichts mehr geändert zu haben, obwohl der Wettbewerb bis zum Ende der Konferenz weiterlief und weiterhin jemand am Nokia gearbeitet hat.

Das unamtliche Endergebnis

Was haben wir also: Das iPhone wurde in 20 Sekunden gehackt, aber ohne Ausbruch aus der Sandbox, Charlie Miller hat seine MacBook-Sammlung um ein weiteres Exemplar erweitert und dafür Safari mit einer Drive-by-Infektion gehackt, Peter Vreugdenhil hat den IE 8 und Nils den Firefox 3.6 gehackt, beide Browser liefen auf Windows 7 und ASLR (Address Space Layout Randomization) und DEP (Data Execution Prevention) mussten umgangen werden.

Für iPhone, Safari und IE 8 gab es je einen weiteren Kandidaten, die aber mangels Losglück nicht mehr zum Zuge kamen. An Chrome hat sich niemand heran gewagt, und der angekündigte Nokia-Hacker ist anscheinend spurlos verschwunden.

Was bedeutet das?

Was kann man daraus schließen? Eigentlich nichts. Betrachten wir mal Chrome: Hat sich da wirklich keiner ran gewagt, gab es keine Schwachstellen, oder hat sich einfach niemand die Mühe gemacht, genauer nach zu sehen? Chrome basiert wie Safari auf WebKit, sollte also prinzipiell die gleichen Schwachstellen enthalten. Charlie Miller, der so erfolgreich im Hacken von Safari ist, könnte wahrscheinlich auch bei Chrome erfolgreich sein, hatte vorher aber schon angekündigt, sich nur auf Safari zu konzentrieren, hält es aber auch für möglich, dass eine WebKit-Schwachstelle in verschiedenen Browsern ausgenutzt werden kann. Im Fall von Chrome würde ein Angreifer damit zwar sehr wahrscheinlich in der Sandbox landen - aber zum einen zeigt das iPhone-Beispiel, dass sich auch im Sandkasten interessante Sachen finden lassen, zum anderen gibt es da ja vielleicht einen Weg heraus. Und ob nun Schutzfunktionen auf Systemebene wie ASLR und DEP oder auf Browserebene wie die Chrome-Sandbox umgangen werden, ist ja kein großer Unterschied.

Drin ist drin

Das iPhone - wurde das eigentlich erfolgreich gehackt? Laut den Pwn2Own-Regeln schon, sonst hätte es dafür ja keinen Preis gegeben. Aber die Angreifer sind nicht aus der Sandbox ausgebrochen, da sie das Wettbewerbsziel auch so erreichen konnten. Damit haben sie bewiesen, dass ein Angreifer in das iPhone eindringen und vertrauliche Daten ausspähen kann. Das ist doch schlimm genug, oder? Natürlich wäre es für einen Angreifer noch reizvoller, die vollständige Kontrolle über das Gerät zu bekommen und dann z.B. teure (eigene) Premiumdienste zu nutzen und damit direkt seinen Geldbeutel auf zu füllen, aber auch das Lesen der SMS-Datenbank, des Adressbuchs, der Bilder und iTunes-Bibliothek liefert den Cyberkriminellen genug verwertbares Material.

Sensation(?): Schutzmaßnahmen umgangen!

Was haben wir noch? Die Erkenntnis, dass ASLR und DEP nicht vor der Ausnutzung der Schwachstellen im IE 8 und Firefox schützten. Das ist aber eigentlich nicht neu, entsprechende Forschungsergebnisse gab es bereits zuvor. Sowohl ASLR als auch DEP sollen die Ausnutzung von Schwachstellen ja auch in erster Linie nur soweit wie möglich erschweren, unmöglich machen kann man sie sowieso kaum. Das hat das 'Security Intel Analysis Team' von Symantec sehr gut zusammengefasst: "Pwn2Own 2010: Lessons Learned".

Schwachstellen: 4 gemeldet, erst 1 behoben

Von den den jeweiligen Herstellern nach dem Pwn2Own-Wettbewerb gemeldeten Schwachstellen wurde schon (bzw. erst) eine behoben: Die Mozilla Foundation hat die Schwachstelle im Firefox in Version 3.6.3 behoben. Der konkret eingesetzte Exploit funktioniert nur im Firefox 3.6, sicherheitshalber wird die Schwachstelle in Version 3.5 in einem zukünftigen Release behoben, falls es andere Möglichkeiten für einen Angriff gibt. Apple und Microsoft wurden von der Zero Day Initiative gleichzeitig mit der Mozilla Foundation über die Schwachstellen informiert, haben sie aber noch nicht behoben. Bei Apple weiß man ja nie, wann Updates veröffentlicht werden, bei Microsoft kann man sich zumindest halbwegs auf die regelmäßigen Patchdays verlassen (wenn es dieses Jahr auch bereits 2 außerplanmäßige Patchdays gab). Und zumindest für den April-Patchday hat Microsoft keine Updates für den IE angekündigt, die dafür eigentlich vorgesehenen wurden ja bereits am außerplanmäßigen "IE-Patchday" am 30. März veröffentlicht. Sofern Microsoft die Schwachstelle im IE also nicht außer der Reihe beheben will, wird der Patch dafür frühestens am Mai-Patchday am 11. Mai veröffentlicht.

Eine kurze Statistik über die bisherigen MS-Patchdays

Im Januar wurde am regulären Patchday lediglich ein als kritisch eingestuftes Bulletin veröffentlicht, das nur eine Schwachstelle betraf. Am 21. Januar gab es jedoch gleich den ersten außerplanmäßigen Patchday für dieses Jahr: Ein als kritisch eingestuftes Bulletin für den IE betraf 8 Schwachstellen, darunter die im Rahmen der "Operation Aurora" ausgenutzte 0-Day-Schwachstelle, die Microsoft bereits aus einer vertraulichen Meldung bekannt war.

Im Februar gab es am regulären Patchday mehr Arbeit: Insgesamt 13 Bulletins (5 kritische, 7 wichtige, 1 moderates) wurden veröffentlicht, die 26 Schwachstellen betrafen. Damit hatte Microsoft aber auch sein Pulver verschossen, es gab keine außerplanmäßigen Patches.

Der März fing wie der Januar ruhig an, am regulären Patchday wurden nur 2 als wichtig eingestufte Bulletins veröffentlicht, die insgesamt 8 Schwachstellen betrafen. Das war zu wenig - am 30. folgte wie im Januar ein außerplanmäßiger "IE-Patchday" mit einem kritischen Bulletin mit Patches für 10 Schwachstellen, darunter wieder eine bereits für Angriffe ausgenutzte 0-Day-Schwachstelle.

Nachdem für den April 11 Bulletins (5 kritische, 5 wichtige, 1 moderates) bzw. Patches für 25 Schwachstellen angekündigt wurden, dürfte es für den Rest des Monats ruhig bleiben. Im Mai wären dann wieder weniger Bulletins am regulären Patchday fällig, gefolgt von einem "IE-Patchday" zum Ende des Monats. Möchte jemand wetten? Ich nicht, dafür sind das doch etwas zu wenig Ausgangsdaten, auch wenn Andrew Storms, Director of Security Operations von nCircle, zumindest bei der Anzahl der monatlichen Bulletins eine ähnliche Beobachtung gemacht hat. Mal sehen, wie sich das im Laufe des Jahres entwickelt. Vielleicht sollte Microsoft die Patches einfach aufteilen: Am 2. Dienstag im Monat gibt es die für Windows und die Anwendungen, am 4. Dienstag die für den IE.