Tianfu Cup 2021: Exchange 2019 und iPhone gehackt

Sicherheit (Pexels, allgemeine Nutzung)[English]Ich denke, da kommt wohl wieder Arbeit auf die Entwickler bei Apple und Microsoft – sowie in einigen anderen Software-Schmieden zu. Auf dem gerade laufenden Tianfu Cup 2021 gab es erfolgreiche Hacks am laufenden Band. Unter anderem wurde Microsoft Exchange 2019 über einen 0-day-Exploit gehackt – und auch das iPhone mit iOS 15 war vor den Hackern nicht sicher.

Der Tianfu Cup

Der „Tianfu Cup„, kurz TFC (International Cracking Competition) ist Chinas größter Hacker-Wettbewerb. Dieser zielt darauf ab, Chinas eigenes „Pwn2Own“-Community aufzubauen. Der Hintergrund: Im Frühjahr 2018 verbot die chinesische Regierung den eigenen Sicherheitsforschern die Teilnahme an im Ausland organisierten Hackerwettbewerben wie Pwn2Own.

Tianfu Cup 2021

Einige Monate später wurde der Tianfu Cup als Reaktion auf das Verbot ins Leben gerufen, um den Forscher die Möglichkeit zu geben, ihre Fähigkeiten zu verbessern. Der erste TFC-Cup fand im Herbst 2018 mit großem Erfolg statt. Dabei hackten die Sicherheitsforscher erfolgreich Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox und andere Produkte.

Beim TMC Cup werden drei unabhängige und parallel stattfindende Wettbewerbe ausgetragen. Die drei parallelen Wettbewerbe umfassen PC, Mobilgeräte und Server, sowie acht Kategorien: Virtualisierungssoftware, Betriebssystemsoftware, Browsersoftware, Bürosoftware, mobile intelligente Endgeräte, Webservice- und Anwendungssoftware, DNS-Servicesoftware und gemeinsame Verwaltungsservicesoftware. Dabei müssen von den Teams bisher nicht bekannte Sicherheitslücken in Produkten, Software und Betriebssystemen wiederholt ausgenutzt werden, um im Wettbewerb erfolgreich zu sein.

Das Preisgeld betrug 2019 insgesamt 1 Million US-Dollar. Ich hatte bereits 2020 im Blog-Beitrag Tianfu Cup Competition: Windows 10, iOS, Chrome, Firefox gehackt über diesen Wettbewerb berichtet. 2021 findet der Tianfu Cup am Samstag, den 16. Oktober und am Sonntag den 17. Oktober statt. Das Preisgeld in diesem Wettbewerb beträgt heuer 1,5 Millionen US-Dollar.

TFC 2021 prices

iOS und Exchange Server 2019 gehackt

Zur Zeit dringen nur wenig an Details über die Hacks des ersten Tages und die am heutigen Sonntag laufenden Hacks an die Öffentlichkeit. Aber mir sind bereits zwei Info-Splitter unter die Augen gekommen, die ich hier im Blog mal einstelle.

Microsoft Exchange 2019 pawned (TFC 2021)

Am 16. Oktober 2021 ist mir obiger Tweet unter die Augen gekommen. Einem Team ist es gelungen, den Microsoft Exchange Server 2019 binnen nicht mal 5 Minuten zu hacken. Der Tweet besagt, dass der Hack über eine 0-day-Schwachstelle erfolgte, die mit den letzten Exchange-Updates (Sicherheitsupdates für Exchange Server (Oktober 2021)) nicht behoben ist. Sofern mir noch Details unter die Augen kommen, werde ich darüber berichten.

iPhone 13 Pro hack (TFC 2021)

Und in obigem Tweet (vom Kunlun Lab CEO @mj0011sec) heißt es, dass das Team PangU am ersten Tag ein iPhone 13 Pro (mit iOS 15.x) hacken konnte. Das Team kannte einen Remote Jailbreak demonstrieren und hat dafür 300.000 US-Dollar Preisgeld kassiert – in diesem Artikel werden sogar 320.000 US-Dollar angegeben.  Das Team liegt damit auf Platz 1 der Preisgelder. Ein Artikel dazu findet sich hier, allerdings gibt es dort noch keine Details.

Und am 2. Tag des TFC 2021 wurde ein iPhone 13 Pro binnen 15 Sekunden über eine Remote Code Execution im Mobile Safari-Browser vom Team Kunlun Lab gehackt. Auf reddit.com findet sich dieser Post dazu, der unter iPhone XR, iOS 12.4 zu finden ist.

TFC 2021

Ergänzung: Obiger Tweet weist jetzt ergänzende Informationen zum TFC 2021 auf. Catalin Cimpanu hat in diesem The Records-Artikel noch einige Informationen zum Contest zusammen getragen. Zudem gibt es diesen Beitrag bei The Hacker News.

Ergänzung: Ein Patch ist seit November 2021 verfügbar, siehe Exchange Server November 2021 Sicherheitsupdates schließen RCE-Schwachstelle CVE-2021-423.

Dieser Beitrag wurde unter iPhone, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Tianfu Cup 2021: Exchange 2019 und iPhone gehackt

  1. Stefan Tjarks sagt:

    Vorletzte Woche die aktuellen CU´s bei allen Kunden ausgerollt.
    Letzten Freitag die Oktober Hotfixe installiert.
    Ich weiß, was diesen Freitag ansteht.
    Man kann den Kunden wirklich nur noch Exchange Online empfehlen…

  2. Vio sagt:

    …aber was ist, wenn das Internet weg ist und viele Mitarbeiter auf Ihre Exchange Online Konten nicht mehr kommen. Bei der heutigen Zeit, ist ein Totalausfall ja nicht unwahrscheinlich. Sicherheitslücken bei Azure sind ja auch vermehrt vorgekommen. Ich bin generell auch für die Cloud, aber man muss abwägen, wie viel man in die Cloud legt.

    • Phadda sagt:

      Lieber ein Totalsausfall vom Internetzugang (zweit/dritt Carrier über alternative Leitungswege/Medien!), als ein Datenverlust (Rechtliche Folgen, Aussenwirkung, Reputation etc).

  3. Bernd sagt:

    Vio…
    wenn das Internet weg ist nutzt Ihnen der on-premise Exchange auch nichts. Sie haben aber in beiden Varianten ost Dateien und in der Cloud haben sie mit dem Smartphone auch dann zu Zugriff wenn Ihre Unternehmens-Datenleitung abfliegt ;)

    • Tobias Rikke sagt:

      >wenn das Internet weg ist nutzt Ihnen der on-premise Exchange auch nichts.

      Warum nicht? Kann man dann die E-Mails oder Kalendereinträge nicht sehen?

      • Phadda sagt:

        Outlook verhält sich Ident, hast doch weiterhin die OST am lokalen Client (hatte Bernd schon notifiziert) und kannst den Zeitraum einstellen der synced und somit Offline verfügbar ist. Gleiches natürlich für SharePoint Online DokBibs via OneDrive4Business synced.

  4. Bernd sagt:

    Tobias:
    Ich habe mich missverständlich ausgedrückt, klar kann jeder auf seine Mailbox noch zugreifen sofern diese im Cache-Mode arbeitet ;) . Mails senden und empfangen geht natürlich nicht mehr (on-premise)

  5. Tobias Rikke sagt:

    >sofern diese im Cache-Mode arbeitet ;)

    Inwiefern ist ein Cache-Mode nötig, um auf die Daten eines on-premise Exchange zuzugreifen, wenn das Internet weg ist? Die Daten liegen vor Ort vor, nicht in einer unerreichbaren Cloud.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert