Skip to main content

Werd de Chrome-browser-sandbox gekraakt?

Beveiligingsonderzoekers beweren dat ze erin geslaagd zijn om de sandbox-beveiliging te omzeilen en een pc te exploiteren via de Google Chrome-browser. Vupen Security onthulde dat het heeft gedaan wat hackers en onderzoekers niet hebben gedaan voor drie opeenvolgende Pwn2Own-wedstrijden - zelfs toen Google een beloning van $ 20.000 oprekte voor een werkende exploit. Er is echter groeiende speculatie dat de exploit die door Vupen wordt gebruikt de Chrome-sandbox eigenlijk niet omzeilt.

Vupen Security heeft een videoclip die de aanval demonstreert. Het omzeilt de Chrome-sandbox, evenals de DEP- en ASLR-beveiligingsfuncties in Windows, en exploiteert zero-day-kwetsbaarheden die door Vupen zijn ontdekt om stil te kunnen uitvoeren zonder aanwijzing voor de gebruiker. Vupen zegt dat de aanval werkt op alle Windows-pc's - zowel 32 als 64-bits.

Onderzoekers beweren dat ze de sandbox-bescherming in Chrome hebben omzeild. Anup Ghosh, oprichter en hoofdwetenschapper voor Invincea, zegt dat het niet als een bedrijf zou moeten komen grote verrassing dat de sandbox in de browser van Chrome was gekraakt. "De Google Chrome Sandbox kapselt alleen een deel van de Google Chrome-browser in, met name de rendering-engine." De exploit heeft een fout gevonden in deze sandbox-code of in het ontwerp, of de exploit gebruikte een fout in software die van buiten de sandbox werd aangeroepen, waarvan er een is aanzienlijk aanvalsoppervlak, zowel binnen de browser als in de Chrome-oproepen van het besturingssysteem. "

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Een bron binnen Google vertelt me ​​echter dat Vupen nog niet heeft gedeelde details van hoe de aanval wordt uitgevoerd, en er is speculatie onder beveiligingsdeskundigen dat Vupen mogelijk een bug in Flash heeft uitgebuit, die niet volledig in sandbox staat in de Chrome-browser. Als dat het geval is, heeft Vupen de Chrome-sandbox strikt genomen niet gebroken.

Maar als Vupen uit de sandbox wist te breken, zou de Chrome-browser niet de eerste sandbox-beveiliging zijn die wordt omzeild. Andere sandbox-implementaties zoals de sandbox in Adobe Reader X zijn ook omzeild. Wat betekent dit voor IT-beheerders en consumenten? Is de bescherming van de sandbox onbruikbaar?

Andrew Storms, directeur van beveiligingsoperaties voor nCircle, zegt: "Sandboxes zijn een waardevolle beveiligingsfunctie. Elke beveiligingslaag heeft waarde, maar elke beveiligingsvoorziening zal op een gegeven moment worden gekraakt. dit is een duel van tegenstanders en we werken er altijd aan een paar stappen voor te blijven op steeds geavanceerdere aanvallers. "

Dave Marcus, directeur van beveiligingsonderzoek en -communicatie voor McAfee Labs, legt uit:" Veel zandbakken worden uiteindelijk omzeild en omzeild door bepaalde technieken, maar ze zijn nog steeds nodig verdediging tegen browser-gebaseerde malware en exploits. "

Storms merkt op dat de aanvallers het voordeel hebben omdat ze tools zoals fuzzers kunnen gebruiken die automatisch verschillende aanvalsstrategieën genereren totdat een zwakte wordt ontdekt. Het gebruik van een fuzzer kost de aanvaller niets en het is eigenlijk slechts een kwestie van tijd voordat er een haalbare aanval wordt ontdekt. ​​

Het korte antwoord op de vraag of sandboxbeveiliging nutteloos is en of we gezamenlijk de handdoek in de ring moeten gooien, is "nee" ". Maar het cruciale ding dat zowel IT-beheerders als consumenten moeten onthouden, is dat er geen zilveren bullet-beveiliging is. Elke beveiligingscontrole of -functie is slechts een deel van de puzzel - een extra verdedigingslaag. Op zichzelf is geen van hen in staat om alle aanvallen te voorkomen, maar als geheel genomen, bouwen ze een veelzijdige verdediging op die een meer bekwame en toegewijde aanvaller nodig heeft om te omzeilen.