Exploit-Dealer lobt 1/2 Million Dollar für Zugang zur Microsoft-Cloud aus

Der Exploit-Händler Zerodium sucht jetzt auch nach Wegen, mit denen man nicht mehr nur in Geräte von Zielpersonen, sondern auch in deren Cloud-Instanzen einbrechen kann. Bis zu einer halben Million Dollar ist die Firma bereit zu zahlen, wenn man ihr ... mehr... Cloud, Wolke, Gewitter Bildquelle: cjohnson7 (CC BY 2.0) Cloud, Wolke, Gewitter Cloud, Wolke, Gewitter cjohnson7 (CC BY 2.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Bin ich doof oder warum übersehe ich den Punkt wo es um "Cloud-Instanzen" gehen soll? Ich lese in den Tweet nur was von Zero-Day exploits welche einen Ausbruch aus VMs in Richtung Host ermöglichen. Natürlich KANN das auch verwendet werden sofern eine der VMs welche angegriffen wird Cloud-Seitig gehostet ist. Aber explizit danach suchen? Davon lese ich hier nix :o
 
@kazesama: Der Unterschied zwischen "Public Cloud" und "Private Cloud" ist halt schon wieder vergessen...
 
@1ST1: Du meinst "öffentliche Computer anderer Leute" und "private Computer anderer Leute"? :P
 
Och Herr Kahle... interpretieren sie doch bitte nicht immer so viel in die Sachen hinein und bleiben sie bei den Fakten. Hier geht es nicht um die MS Cloud aka Azure, sondern um jeden, der irgendwie eine virtuelle Maschine auf Basis von vSphere oder Hyper-V betreibt. Also vom Privatmann mit Win10 Pro und Hyper-V, bis hin zu Datenzentrenbeitreiber. Klar, da gehört auch MS mit zu, aber Virtualisierung ist nur ein kleiner Teil der MS Cloud und MS nur ein kleines Ziel für die Exploitanfrage.
 
@Knarzi81: Die paar privaten VMs und die auf einigen Firmenrechnern sind aber zu vernachlässigen. Die machen bei der VM-Nutzung nur einen Bruchteil dessen aus, was in den Cloud-Datenzentren läuft. Abgesehen davon, dass ein Geheimdienst deinen Windows-PC wahrscheinlich direkt kapert und nicht einen Umweg über eine VM nimmt, die du vielleicht laufen hast. ;)
 
@ckahle: Naja recht hat er aber schon. Ein Exploit der auf virtualisierte Umgebungen abzielt hat unter Umständen sogar weit mehr Schlagkraft als ein Cloud-Exploit. Den VM Exploit kann ich gegen jegliche, virtualisierte Umgebung richten (auch z.B. gegen ein Inhouse-Rechenzentrum größerer Unternehmen) - und somit AUCH gegen Cloud-Dienste. Einen Cloud-Exploit jedoch ausschließlich gegen Cloud-Dienste.
 
@kazesama: Was soll denn ein Cloud-Exploit sein? Was greifste da denn konkret an?
 
@ckahle: Er meint ein Exploit zum Beispiel um in Azure-Konten oder Office 365 einzubrechen, um dort dann über Webservices Daten abzugreifen. Das wäre für mich dann auch ein richtiger Exploit für die MS-Cloud, wie in der Headline erwähnt.
 
@Knarzi81: Sowas habe ich auch unter der Überschrift erwartet. Aber die Variante, auf den Hypervisor zu kommen, öffnet auch so manche Türen. Szenario: Ich miete mir bei einem Cloud-Hoster eine VM, breche da auf den Hypervisor ein, und schaue mal, was auf der Kiste sonst so läuft... Ist halt ein bischen wie Lotto, du weißt nicht, was du kriegst, die Nachbar-VMs können irgendwelche Gamingserver oder Hobbywebseiten sein, oder der Mailserver von einem globalen Konzern.
 
@ckahle: Die Privatrechner sind mir da relativ - gehören aber da eben auch mit rein -, aber die Firmen, Webhoster und sonstige die vSphere und HyperV als Virtualisierung der gesamten Serverumgebungen in ihren Datenzentren - ja die gibt es noch abseits von Amazon und MS - nutzen, sind viel, viel mehr als eben nur die MS-Cloud. Da ist Azure eben nur ein winzig kleiner Teil, der hier betroffen ist. Da denkst du leider bisschen kurz.
 
@ckahle: Ich glaube kaum, dass Azure mehrheitlich auf VMware ESX läuft. Man könnte also auch schreiben "Exploit Dealer will AWS knacken". Wie mans dreht, bleibt grenzwertig die Überschrift.
 
@ckahle: naja die paar privaten vm's? schon mal gehört ibm z.B. Betreibt hosting, aufgrund von betriebsbesichtgung und auch der logische menschenverstand sagt mir das nicht jeder gehostet server eine physische maschine ist somit laufen alleine bei ibm millionen von vm's lokal. in dem unternehmen in dem ich tätig bin laufen ca. 5000 vm's wir sind ein mittlergroßer finanzdienstleister. also ich glaube das ist nicht zu unterschätzen und ich glaube auch nicht das die meisten vm's in der cloud laufen sonder auf eigenen firmenrechenern(ESX).
Das nächste es gibt keine echte Cloud somit sind es auch dort VM's die auf lokalen Servern laufen.
 
@Knarzi81: "nicht mehr nur in Geräte von Zielpersonen, sondern auch in deren Cloud-Instanzen einbrechen kann" --- Gut, der Header/Titel is in der Tat hier irre führend ... im Zerodium Programm (https://zerodium.com/program.html) finde ich irgendwie auch keine sonderlichen Verweise als sonst. Eine Verbindung zur Mircosoft Cloud lässt sich aber schlussfolgern da diese eben die ausgelobten "VMware ESXi (vSphere) or Microsoft Hyper-V" sowohl bei azure als auch anderen cloud diensten nutzen. Diese laufen aber wie auch schon engesprochen auch auf diversen anderen Diensten. Somit würde auch ich eine umformulierung des Titels dieser News empfehlen. Denn selbst im Verlinkten Tweet steht nur: "We're paying up to $500,000 for #0day exploits targeting VMware ESXi (vSphere) or Microsoft Hyper-V, and allowing Guest-to-Host escapes. "
 
Mal eine ganz andere Frage: Dieser Laden (Zerodium) tritt ja ganz offen als Firma auf. Ist das, was die da machen, denn überhaupt legal? Ich meine, wenn ich jetzt öffentlich nach jemandem suche, dem ich Summe X dafür gebe, dass er ins Weiße Haus einbricht und Trump eins an die Backen gibt (oder irgendein anderes Szenario), komme ich doch garantiert postwendend in den Bau. Wieso passiert denen nichts? Ist immerhin Computersabotage, was da angestrebt wird, und das ist meines Wissens illegal.
 
Microsoft zahlt selbst bis zu 250.000$ für HyperV Exploits, da finde ich die 500k jetzt nicht so faszinierend...
https://www.microsoft.com/en-us/msrc/bounty
 
@NWZ: Nun, 500K ist das Doppelte von 250k Haben oder nicht haben.
 
@Memfis: 750k ist noch besser, erst Zerodium das Ding verkaufen, und sobald das Geschäft in der Tasche ist, nochmal an MS.
 
Mal abgesehen davon, ob der Artikel nun gut recherchiert ist oder nicht, aber ist das nicht illegal? Ich meine, wenn ich heute in den Medien einen Beitrag schalte in welchem ich die Leute ermutige mir mitzuteilen, wie ich möglichst sicher die örtliche Postfiliale ausrauben kann, dann ist das doch Anstiftung zu einer Straftat, oder? Fällt denn sowas nicht auch darunter, auch wenn es sich auf immaterielle Güter bezieht?
 
@Thomas Höllriegl: Ich denke nicht weil du ja nur die Mittel verkaufst um.."Dinge zu tun". Wer das wie und wofür verwendet, kannst du als Verkäufer ja gar nicht wissen *hust*
Kommentar abgeben Netiquette beachten!
Einloggen