Pwn2Own – Hacker demonstrieren Sicherheitslücken in Windows und Co.

Pwn2Own – Hacker demonstrieren Sicherheitslücken in Windows und Co.

Vergangene Woche fand das dreitägige Event Pwn2Own statt, bei dem Hacker jährlich Sicherheitslücken in wichtigen IT-Produkten präsentieren und hierfür Prämien erhalten. Der Wettbewerb, der für Gewöhnlich auf der Sicherheitskonferenz CanSecWest stattfindet, fand dieses Jahr zum zweiten Mal online statt und konnte somit von Interessenten per Livestream verfolgt werden.

Was steckt hinter dem „Hacker-Wettbewerb“?

Das Event dient zur Demonstration der Angreifbarkeit von Geräten und Software. Der Name des Wettbewerbs bedeutet In-Besitzname bzw. haken („pwn“), um es „zu“ (2 = two= to) besitzen („own“). Denn früher durften die Hacker das gekaperte Gerät anschließend behalten. In diesem Jahr waren insgesamt 23 verschiedene Teams und Sicherheitsforscher bei dem Online-Event dabei. Die Sicherheitslücken werden bei der Veranstaltung unter real anmutenden Bedingungen sowie unter Zeitdruck von den Sicherheitsforschern aufgezeigt. Diesen gelang es letzte Woche hierbei so gut wie alles zu haken, was ihnen vorgesetzt wurde – darunter beispielsweise die komplette Übernahme von Windows 10.

Was waren die diesjährigen Schwerpunkte?

Ein Schwerpunkt lag in diesem Jahr auf verschiedenen Kommunikations-Plattformen. Hierzu zählten beispielsweise Zoom, Microsoft oder Teams. Die Sicherheitsforscher erhielten für deren erfolgreiche Kompromittierung jeweils 200 000 US-Dollar. Für das Aufzeigen von Browser-Lücken in Chrome, Safari und Edge gab es immerhin 100 000 US-Dollar. Insgesamt wurde eine Rekordprämie von 1,2 Millionen US-Dollar ausbezahlt. Ein weiterer Fokus lag auf virtuellen Maschinen. Den Hackern gelang es vier unterschiedliche Möglichkeiten vorzuführen, aus einer virtuellen Parallels-Umgebung auszubrechen.

Höchste Geldsumme für gehakte Microsoft-Produkte

Zwei Forscherteams erhielten die höchste Geldsumme von 200 000 US-Dollar für das erfolgreiche Haken von Microsoft-Produkten.

  • Team Devorce: Übernahme eines Exchange-Servers, durch die Umgehung eines Authentifizierungsmechanismus und die anschließende Ausweitung der Rechte.
  • Forscher mit dem Pseudonym „OV“: Kombinierung von Bugs, um im Kontext von Microsoft Teams Code auszuführen.

Bei Windows 10 gelang es vier Angreifern mit einem Privilege Escalation Exploit ihre Rechte zu erhöhen und erhielten hierfür jeweils 30 000 US-Dollar. Bei Ubuntu gelang es immerhin drei Sicherheitsforschern Rechte zu erlangen. Hierfür gab es ebenfalls eine Prämie von 30 000 US-Dollar. Die gehackten Systeme befanden sich dabei alle auf dem neusten Stand und hatten demnach bereits alle verfügbaren Sicherheitsupdates erhalten.

Wer hat das Event gewonnen?

Zu Ende ging die „Hacker-WM“ mit einem Unentschieden zwischen den Teams Devorce, dem Forscher „OV“ sowie den Computest-Mitarbeitern Daan Keuper und Thijs Alkemade. Sie erhielten jeweils 20 „Master of Pwn“-Punkte sowie eine Prämie in Höhe von 200 000 US-Dollar. Nun müssen die Teilnehmer dem Veranstalter offenlegen, wie sie ihr Ziel bei allen demonstrierten 0-Day-Lücken erreicht haben. Als 0-Day-Lücken werden Schwachstellen bezeichnet, bei denen der Angegriffene keinerlei Zeit hatte sich beispielsweise durch das Installieren von Patches zu schützen. Die Hersteller haben nun wiederum 90 Tage Zeit, Lösungen für die Sicherheitslücken zu entwickeln und diese zu veröffentlichen. Anschließend werden die Schwachstellen von der Zero Day Initiative selbst öffentlich bekannt gegeben.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Mobilfunk-Monitoring – BNetzA ergänzt interaktive Karte um 1&1-Daten

Mobilfunk-Monitoring

BNetzA ergänzt interaktive Karte um 1&1-Daten

Auf der Mobilfunk-Karte der Bundesnetzagentur können Verbraucher die aktuelle Mobilfunkversorgung für ganz Deutschland einsehen. Die Daten der interaktiven Karte wurden jetzt auch um die des vierten deutschen Netzbetreibers 1&1 Mobilfunk GmbH erweitert. […]

Von 30 auf 14 Tage – Amazon verkürzt Rückgabefrist bestimmter Produkte

Von 30 auf 14 Tage

Amazon verkürzt Rückgabefrist bestimmter Produkte

Amazon verkürzt die Rückgabefrist für bestimmte Warengruppen von 30 auf 14 Tage. Kunden, die elektronische Produkte über den Online-Händler bestellen, sollten daher die Rückgabebedingungen in Zukunft genau im Blick haben. Andere Produkte können weiterhin 30 Tage lang zurückgegeben werden. […]

Angemessene Internetversorgung – BNetzA setzt erstmals Recht durch

Angemessene Internetversorgung

BNetzA setzt erstmals Recht durch

Erstmalig hat die BNetzA das Recht auf „schnelles“ Internet durch ein Verpflichtungsverfahren durchgesetzt. Ein Haushalt in Niedersachsen muss jetzt angemessen mit einem Internetdienst versorgt werden. Kritik zur verpflichtenden Erschließung von einzelnen Haushalten kommt vom Breko. […]

Mehr Privatsphäre – Signal ermöglicht Kontaktaufnahme per Nutzernamen

Mehr Privatsphäre

Signal ermöglicht Kontaktaufnahme per Nutzernamen

Signal führt Benutzernamen für alle User ein. Mit der neuen Funktion können sich die Nutzer in Zukunft miteinander vernetzen, ohne, dass sie hierfür ihre Telefonnummer teilen müssen. Bereits in den nächsten Wochen soll die Kontaktaufnahme per Nutzername in der Messaging-App für alle möglich sein. […]