Pwn2Own: Hacker demonstrieren Ausbruch aus virtueller Maschine
Virtuelle Maschinen sollen das Agieren auch auf unsicheren Internetseiten oder mit zweifelhaften Anwendungen erlauben, ohne die Sicherheit des eigentlichen Betriebssystem zu gefährden.
Da ein Datenaustausch zwischen verschiedene VMs nicht (ungewollt) möglich ist, ist die Technik auch im professionellen Umfeld weit verbreitet, um etwa die Dateien verschiedener Clients hermetisch voneinander abzuriegeln.
Umso heikler ist der von der Gruppe Qihoo 360 auf der Hacker-Konferenz Pwn2Own erreichte Ausbruch. Die Sicherheitsexperten nutzten drei bislang unbekannte Lücken, um letztlich auf den Host zuzugreifen. Konkret ermöglichte ein spezieller Pufferüberlauf im Edge-Browser, ein Kernel-Bug in Windows und ein nicht näher spezifizierte Puffer-Fehler in VMware den Ausbruch.
Zwar handelte es sich bei der mit 105.000 US-Dollar prämierten Demonstration um die wohl anspruchsvollste Aufgabe des Hacker-Wettbewerbs, gleichwohl wurden während der dreitägigen Veranstaltung auch zahlreiche Zero-Day-Lücken in Windows, macOS und Ubuntu gezeigt.
Deutschen Sicherheitsforschern gelang es zudem, die Touch Bar des neuen MacBooks zu übernehmen.