{"id":224989,"date":"2019-11-18T09:47:42","date_gmt":"2019-11-18T08:47:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224989"},"modified":"2022-06-17T20:57:51","modified_gmt":"2022-06-17T18:57:51","slug":"chrome-edge-office-vmware-esxi-beim-tmc-2019-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/18\/chrome-edge-office-vmware-esxi-beim-tmc-2019-gehackt\/","title":{"rendered":"Chrome, Edge, Office, VMware ESXi beim TMC 2019 gehackt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/11\/18\/chrome-edge-office-vmware-esxi-beim-tmc-2019-gehackt\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Am Wochenende (16.\/17. November 2019) fand in China, in der Stadt Chengdu, der TMC 2019 statt. Es handelt sich um einen Hackerwettbewerb (<a href=\"https:\/\/web.archive.org\/web\/20220504002939\/http:\/\/www.tianfucup.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">TifanCup 2019<\/a>), bei dem die besten Hacker-Teams Chinas gegeneinander antreten. Es gab mal wieder eine Menge Hacks bei aktueller Software wie Browser, Office und Virtualisierungsl\u00f6sungen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/fd8e0fb39c6446188b97cdd316dedf51\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin am sp\u00e4ten Sonntag Abend \u00fcber <a title=\"https:\/\/twitter.com\/TianfuCup\/status\/1195955592453472256\" href=\"https:\/\/twitter.com\/TianfuCup\/status\/1195955592453472256\">diesen Tweet<\/a> auf den mehrt\u00e4gigen Wettbewerb aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Some number reviews for the two-day <a href=\"https:\/\/twitter.com\/hashtag\/TFC?src=hash&amp;ref_src=twsrc%5Etfw\">#TFC<\/a> 2019 PWN contest:<br \/>\n17 teams delivered 28 on-site demonstrations with 20 successful and 8 failed<br \/>\n11 teams have gained bonus<br \/>\n8 targets been taken down<br \/>\nTotal bounty of $545,000 awarded!<\/p>\n<p>Thanks everyone for participating! <a href=\"https:\/\/t.co\/k9voEyNHlg\">pic.twitter.com\/k9voEyNHlg<\/a><\/p>\n<p>\u2014 TianfuCup (@TianfuCup) <a href=\"https:\/\/twitter.com\/TianfuCup\/status\/1195955592453472256?ref_src=twsrc%5Etfw\">November 17, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h2>Der TFC-Wettbewerb<\/h2>\n<p>Der \"<a href=\"https:\/\/web.archive.org\/web\/20220504002939\/http:\/\/www.tianfucup.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Tianfu Cup<\/a>\", kurz TFC (International Cracking Competition) zielt darauf ab, Chinas eigenes \"Pwn2Own\"-Community aufzubauen. Der Hintergrund: Im Fr\u00fchjahr 2018 verbot die chinesische Regierung den eigenen Sicherheitsforschern die Teilnahme an im Ausland organisierten Hackerwettbewerben wie Pwn2Own.<\/p>\n<p>Einige Monate sp\u00e4ter wurde der TianfuCup als Reaktion auf das Verbot ins Leben gerufen, um den Forscher die M\u00f6glichkeit zu geben, ihre F\u00e4higkeiten zu verbessern. Der erste TFC-Cup fand im Herbst 2018 mit gro\u00dfem Erfolg statt. Dabei hackten die Sicherheitsforscher erfolgreich Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox und andere Produkte.<\/p>\n<p>Beim TMC Cup werden drei unabh\u00e4ngige und parallel stattfindende Wettbewerbe ausgetragen. Dabei m\u00fcssen von den Teams bisher nicht bekannte Sicherheitsl\u00fccken in Produkten, Software und Betriebssystemen wiederholt ausgenutzt werden, um im Wettbewerb erfolgreich zu sein. Das Preisgeld betrug dieses Jahre insgesamt 1 Million US-Dollar.<\/p>\n<h2>Erfolgreiche Hacks am laufenden Band<\/h2>\n<p>Im Rahmen des zweit\u00e4gigen Wettbewerbs gab es erfolgreiche Ausbr\u00fcche aus virtuellen Maschinen in das Host-Betriebssystem unter VMware EXSi \u2013 wobei die Hacker von 360Vulcan ganze 24 Sekunden f\u00fcr den Hack ben\u00f6tigten.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Verified to be a success! Congrats to 360Vulcan <a href=\"https:\/\/twitter.com\/xiaowei__?ref_src=twsrc%5Etfw\">@XiaoWei__<\/a> on wining $200,000 &#8211; the highest bonus of <a href=\"https:\/\/twitter.com\/hashtag\/TFC?src=hash&amp;ref_src=twsrc%5Etfw\">#TFC<\/a> 2019! <a href=\"https:\/\/t.co\/xYqlhMJj7W\">https:\/\/t.co\/xYqlhMJj7W<\/a><\/p>\n<p>\u2014 TianfuCup (@TianfuCup) <a href=\"https:\/\/twitter.com\/TianfuCup\/status\/1195910677241532416?ref_src=twsrc%5Etfw\">November 17, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das brachte dem Hacker 200.000 US $ an Pr\u00e4mie ein. Zwei Teams mussten aber die Versuche, Ubuntu 19.10\/CentOS 8 und Windows Server 2019 zu hacken, abbrechen.<\/p>\n<p>Daf\u00fcr gab es zwei erfolgreiche <a href=\"https:\/\/twitter.com\/TianfuCup\/status\/1195887668472602624\">Angriffe auf PDF-Reader<\/a>. Von 20 Demontrationen waren 13 sehr erfolgreich und konnten Browser wie Chrome, Edge und Safari hacken. Darunter der erw\u00e4hnte Adobe PDF-Reader.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Brief review for <a href=\"https:\/\/twitter.com\/hashtag\/TFC?src=hash&amp;ref_src=twsrc%5Etfw\">#TFC<\/a> Day 1:<br \/>\n20 demonstrations, with 13 being successful, 5 teams gained bonus.<br \/>\n6 targets were taken down <a href=\"https:\/\/twitter.com\/hashtag\/Edge?src=hash&amp;ref_src=twsrc%5Etfw\">#Edge<\/a>, <a href=\"https:\/\/twitter.com\/hashtag\/Chrome?src=hash&amp;ref_src=twsrc%5Etfw\">#Chrome<\/a>, <a href=\"https:\/\/twitter.com\/hashtag\/Safari?src=hash&amp;ref_src=twsrc%5Etfw\">#Safari<\/a>, <a href=\"https:\/\/twitter.com\/hashtag\/Adobe?src=hash&amp;ref_src=twsrc%5Etfw\">#Adobe<\/a> PDF Reader, <a href=\"https:\/\/twitter.com\/hashtag\/Office365?src=hash&amp;ref_src=twsrc%5Etfw\">#Office365<\/a>, <a href=\"https:\/\/twitter.com\/hashtag\/DLink?src=hash&amp;ref_src=twsrc%5Etfw\">#DLink<\/a>, <a href=\"https:\/\/twitter.com\/hashtag\/Ubuntu?src=hash&amp;ref_src=twsrc%5Etfw\">#Ubuntu<\/a> + qemu-kvm<br \/>\nCome back tomorrow at 9am! <a href=\"https:\/\/t.co\/LVYjPxilpX\">pic.twitter.com\/LVYjPxilpX<\/a><\/p>\n<p>\u2014 TianfuCup (@TianfuCup) <a href=\"https:\/\/twitter.com\/TianfuCup\/status\/1195640358111076352?ref_src=twsrc%5Etfw\">November 16, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Gehackt wurden auch Microsoft Office sowie dLink-Produkte. Catalin Cimpanu\u00a0 hat das Ganze inzwischen in <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1195860339809771523\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Tweet<\/a> zusammen gefasst. Der Gewinner ist das Team von 360Vulcan, die mit dem VMware-hack (200.000 US $) und Qemu unter Ubuntu (80.000 US $) satte Pr\u00e4mien einstrichen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Chrome, Edge, Safari hacked at Tianfu Cup, China's elite hacking competition<\/p>\n<p>&#8211; (old) Edge hacked 3 times<br \/>\n&#8211; Chrome twice<br \/>\n&#8211; Safari once<br \/>\n&#8211; Office 365 hacked in 16 seconds<br \/>\n&#8211; 32 sessions announced: 13 successful, 7 failed, 12 abandoned<a href=\"https:\/\/t.co\/0aA8C06xxx\">https:\/\/t.co\/0aA8C06xxx<\/a> <a href=\"https:\/\/t.co\/ltD1SnH4tt\">pic.twitter.com\/ltD1SnH4tt<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1195860339809771523?ref_src=twsrc%5Etfw\">November 17, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Mehr Details hat Catalin Cimpanu in <a href=\"https:\/\/www.zdnet.com\/article\/chrome-edge-safari-hacked-at-elite-chinese-hacking-contest\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem ZDNet-Artikel<\/a> zusammen getragen, wobei aber nichts \u00fcber die Schwachstellen bekannt wurde.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Am Wochenende (16.\/17. November 2019) fand in China, in der Stadt Chengdu, der TMC 2019 statt. Es handelt sich um einen Hackerwettbewerb (TifanCup 2019), bei dem die besten Hacker-Teams Chinas gegeneinander antreten. Es gab mal wieder eine Menge Hacks bei &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/11\/18\/chrome-edge-office-vmware-esxi-beim-tmc-2019-gehackt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[916,4328],"class_list":["post-224989","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hacks","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224989"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224989\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}