Pwn2Own – Hacker demonstrieren Sicherheitslücken in Windows und Co.

Pwn2Own – Hacker demonstrieren Sicherheitslücken in Windows und Co.

Vergangene Woche fand das dreitägige Event Pwn2Own statt, bei dem Hacker jährlich Sicherheitslücken in wichtigen IT-Produkten präsentieren und hierfür Prämien erhalten. Der Wettbewerb, der für gewöhnlich auf der Sicherheitskonferenz CanSecWest stattfindet, fand dieses Jahr zum zweiten Mal online statt und konnte somit von Interessenten per Livestream verfolgt werden.

Was steckt hinter dem „Hacker-Wettbewerb“?

Das Event dient zur Demonstration der Angreifbarkeit von Geräten und Software. Der Name des Wettbewerbs bedeutet In-Besitzname bzw. haken („pwn“), um es „zu“ (2 = two= to) besitzen („own“). Denn früher durften die Hacker das gekaperte Gerät anschließend behalten. In diesem Jahr waren insgesamt 23 verschiedene Teams und Sicherheitsforscher bei dem Online-Event dabei. Die Sicherheitslücken werden bei der Veranstaltung unter real anmutenden Bedingungen sowie unter Zeitdruck von den Sicherheitsforschern aufgezeigt. Diesen gelang es letzte Woche hierbei so gut wie alles zu haken, was ihnen vorgesetzt wurde – darunter unter anderem die komplette Übernahme von Windows 10.

Was waren die diesjährigen Schwerpunkte?

Ein Schwerpunkt lag in diesem Jahr auf verschiedenen Kommunikations-Plattformen. Hierzu zählten unter anderem Zoom, Microsoft oder Teams. Die Sicherheitsforscher erhielten für deren erfolgreiche Kompromittierung jeweils 200 000 US-Dollar. Für das Aufzeigen von Browser-Lücken in Chrome, Safari und Edge gab es immerhin 100 000 US-Dollar. Insgesamt wurde eine Rekordprämie von 1,2 Millionen US-Dollar ausbezahlt. Ein weiterer Fokus lag auf virtuellen Maschinen. Den Hackern gelang es vier unterschiedliche Möglichkeiten vorzuführen, aus einer virtuellen Parallels-Umgebung auszubrechen.

Höchste Geldsumme für gehackte Microsoft-Produkte

Zwei Forscherteams erhielten die höchste Geldsumme von 200 000 US-Dollar für das erfolgreiche Haken von Microsoft-Produkten.

  • Team Devorce: Übernahme eines Exchange-Servers, durch die Umgehung eines Authentifizierungsmechanismus und die anschließende Ausweitung der Rechte.
  • Forscher mit dem Pseudonym „OV“: Kombinierung von Bugs, um im Kontext von Microsoft Teams Code auszuführen.

Bei Windows 10 gelang es vier Angreifern, mit einem Privilege Escalation Exploit ihre Rechte zu erhöhen und erhielten hierfür jeweils 30 000 US-Dollar. Bei Ubuntu gelang es immerhin drei Sicherheitsforschern Rechte zu erlangen. Hierfür gab es ebenfalls eine Prämie von 30 000 US-Dollar. Die gehackten Systeme befanden sich dabei alle auf dem neuesten Stand und hatten demnach bereits alle verfügbaren Sicherheitsupdates erhalten.

Wer hat das Event gewonnen?

Zu Ende ging die „Hacker-WM“ mit einem Unentschieden zwischen den Teams Devorce, dem Forscher „OV“ sowie den Computest-Mitarbeitern Daan Keuper und Thijs Alkemade. Sie erhielten jeweils 20 „Master of Pwn“-Punkte sowie eine Prämie in Höhe von 200 000 US-Dollar. Nun müssen die Teilnehmer dem Veranstalter offenlegen, wie sie ihr Ziel bei allen demonstrierten 0-Day-Lücken erreicht haben. Als 0-Day-Lücken werden Schwachstellen bezeichnet, bei denen der Angegriffene keinerlei Zeit hatte, sich beispielsweise durch das Installieren von Patches zu schützen. Die Hersteller haben jetzt wiederum 90 Tage Zeit, Lösungen für die Sicherheitslücken zu entwickeln und diese zu veröffentlichen. Anschließend werden die Schwachstellen von der Zero Day Initiative selbst öffentlich bekannt gegeben.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Unzulässige Masche – vzbv klagt erfolgreich gegen Stromlieferanten

Unzulässige Masche

vzbv klagt erfolgreich gegen Stromlieferanten

Stromlieferanten dürfen keine eigenen Regeln für die Umzugskündigung in ihren AGB festlegen, die den Kunden benachteiligen. Das hat das Kammergericht Berlin entschieden, nachdem der Verbraucherzentrale-Bundesverband gegen die Energielieferanten Voxenergie und Primastrom geklagt hatte. […]

Malware - Minecraft-Mods klauen Nutzerdaten

Malware

Minecraft-Mods klauen Nutzerdaten

Minecraft-Fans luden vermeintliche Cheat-Tools für Launcher wie Oringo, Funnymap oder Porlar herunter – tatsächlich handelte es sich um getarnte Malware. Nach der Installation aktivieren die JAR-Dateien ein .NET-Stealer-Modul, das Minecraft-, Microsoft-, Discord- und Telegram-Accountdaten abgreift und an die Angreifer sendet. […]

Schluss mit der Werbefreiheit – WhatsApp führt Werbeanzeigen ein

Schluss mit der Werbefreiheit

WhatsApp führt Werbeanzeigen ein

In der Rubrik „Aktuelles“ auf WhatsApp wird bald Werbung erscheinen. Nach jahrelangen Spekulationen ist es jetzt Gewissheit, dass der Meta-Konzern die Werbefreiheit des beliebtesten Messengers weltweit beendet. Bereits in den nächsten Monaten soll die Werbung erscheinen. […]

Endlich schnelles Internet im Zug? – Kooperation soll Netz verbessern

Endlich schnelles Internet im Zug?

Kooperation soll Netz verbessern

Ein neues Forschungs- und Entwicklungsprojekt, bei dem alle vier Netzbetreiber Deutschlands mit der Deutschen Bahn zusammenarbeiten, soll das Netz im Zug endlich deutlich verbessern. Denn bisher müssen Reisende meist auf schnelles Internet verzichten. Das soll sich in Zukunft ändern. […]

Bitcoins im Millionenwert – die jahrelange Suche auf der Mülldeponie

Bitcoins im Millionenwert

Die jahrelange Suche auf der Mülldeponie

Seit mehr als elf Jahren sucht ein Brite auf einer Mülldeponie nach seiner alten Festplatte. Denn auf dieser soll sich ein Vermögen in Höhe von aktuell mehr als 700 Millionen Euro befinden. Jetzt wird die Geschichte von Howell und seiner Suche nach der Bitcoin-Wallet sogar verfilmt. […]