Pwn2Own – Hacker demonstrieren Sicherheitslücken in Windows und Co.

Pwn2Own – Hacker demonstrieren Sicherheitslücken in Windows und Co.

Vergangene Woche fand das dreitägige Event Pwn2Own statt, bei dem Hacker jährlich Sicherheitslücken in wichtigen IT-Produkten präsentieren und hierfür Prämien erhalten. Der Wettbewerb, der für Gewöhnlich auf der Sicherheitskonferenz CanSecWest stattfindet, fand dieses Jahr zum zweiten Mal online statt und konnte somit von Interessenten per Livestream verfolgt werden.

Was steckt hinter dem „Hacker-Wettbewerb“?

Das Event dient zur Demonstration der Angreifbarkeit von Geräten und Software. Der Name des Wettbewerbs bedeutet In-Besitzname bzw. haken („pwn“), um es „zu“ (2 = two= to) besitzen („own“). Denn früher durften die Hacker das gekaperte Gerät anschließend behalten. In diesem Jahr waren insgesamt 23 verschiedene Teams und Sicherheitsforscher bei dem Online-Event dabei. Die Sicherheitslücken werden bei der Veranstaltung unter real anmutenden Bedingungen sowie unter Zeitdruck von den Sicherheitsforschern aufgezeigt. Diesen gelang es letzte Woche hierbei so gut wie alles zu haken, was ihnen vorgesetzt wurde – darunter beispielsweise die komplette Übernahme von Windows 10.

Was waren die diesjährigen Schwerpunkte?

Ein Schwerpunkt lag in diesem Jahr auf verschiedenen Kommunikations-Plattformen. Hierzu zählten beispielsweise Zoom, Microsoft oder Teams. Die Sicherheitsforscher erhielten für deren erfolgreiche Kompromittierung jeweils 200 000 US-Dollar. Für das Aufzeigen von Browser-Lücken in Chrome, Safari und Edge gab es immerhin 100 000 US-Dollar. Insgesamt wurde eine Rekordprämie von 1,2 Millionen US-Dollar ausbezahlt. Ein weiterer Fokus lag auf virtuellen Maschinen. Den Hackern gelang es vier unterschiedliche Möglichkeiten vorzuführen, aus einer virtuellen Parallels-Umgebung auszubrechen.

Höchste Geldsumme für gehakte Microsoft-Produkte

Zwei Forscherteams erhielten die höchste Geldsumme von 200 000 US-Dollar für das erfolgreiche Haken von Microsoft-Produkten.

  • Team Devorce: Übernahme eines Exchange-Servers, durch die Umgehung eines Authentifizierungsmechanismus und die anschließende Ausweitung der Rechte.
  • Forscher mit dem Pseudonym „OV“: Kombinierung von Bugs, um im Kontext von Microsoft Teams Code auszuführen.

Bei Windows 10 gelang es vier Angreifern mit einem Privilege Escalation Exploit ihre Rechte zu erhöhen und erhielten hierfür jeweils 30 000 US-Dollar. Bei Ubuntu gelang es immerhin drei Sicherheitsforschern Rechte zu erlangen. Hierfür gab es ebenfalls eine Prämie von 30 000 US-Dollar. Die gehackten Systeme befanden sich dabei alle auf dem neusten Stand und hatten demnach bereits alle verfügbaren Sicherheitsupdates erhalten.

Wer hat das Event gewonnen?

Zu Ende ging die „Hacker-WM“ mit einem Unentschieden zwischen den Teams Devorce, dem Forscher „OV“ sowie den Computest-Mitarbeitern Daan Keuper und Thijs Alkemade. Sie erhielten jeweils 20 „Master of Pwn“-Punkte sowie eine Prämie in Höhe von 200 000 US-Dollar. Nun müssen die Teilnehmer dem Veranstalter offenlegen, wie sie ihr Ziel bei allen demonstrierten 0-Day-Lücken erreicht haben. Als 0-Day-Lücken werden Schwachstellen bezeichnet, bei denen der Angegriffene keinerlei Zeit hatte sich beispielsweise durch das Installieren von Patches zu schützen. Die Hersteller haben nun wiederum 90 Tage Zeit, Lösungen für die Sicherheitslücken zu entwickeln und diese zu veröffentlichen. Anschließend werden die Schwachstellen von der Zero Day Initiative selbst öffentlich bekannt gegeben.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


zwei × vier =

Die aktuellsten telespiegel Nachrichten
Fake Pop-Up-Fenster – BNetzA schaltet Rufnummern konsequent ab

Fake Pop-Up-Fenster

BNetzA schaltet Rufnummern konsequent ab

Die Bundesnetzagentur warnt vor falschen Pop-Up-Fenster-Fehlermeldungen und schaltet weiterhin konsequent Rufnummern ab, die dort für vermeintliche Hilfe angegeben werden. Hinter den Fake Pop-Ups stecken Betrüger, die Verbraucher zu einem teuren Reparaturauftrag drängen wollen. […]

Kostenfalle Handyvertrag – Folgende Fehler unbedingt vermeiden

Kostenfalle Handyvertrag

Folgende Fehler unbedingt vermeiden

Die Auswahl der Mobilfunkanbieter ist immens. Daher sollte man unbedingt auch ein Auge auf sogenannte Discountanbieter legen. Häufig bieten diese attraktive Konditionen zu besonders günstigen Preisen an. Kein Wunder also, dass sich immer mehr Menschen dazu entscheiden, ihren Anbieter zu wechseln. […]

Verbesserter Verbraucherschutz – Bundestag beschließt Novelle des TKGs

Verbesserter Verbraucherschutz

Bundestag beschließt Novelle des TKGs

Der Bundestag hat die Novelle des Telekommunikationsgesetzes gegen die Stimmen der Opposition verabschiedet. Unter anderem ist das Recht auf schnelles Internet vorgesehen. Darüber hinaus gibt es neue Entschädigungsmöglichkeiten für Verbraucher. […]