Pwn2Own – Hacker demonstrieren Sicherheitslücken in Windows und Co.

Pwn2Own – Hacker demonstrieren Sicherheitslücken in Windows und Co.

Vergangene Woche fand das dreitägige Event Pwn2Own statt, bei dem Hacker jährlich Sicherheitslücken in wichtigen IT-Produkten präsentieren und hierfür Prämien erhalten. Der Wettbewerb, der für Gewöhnlich auf der Sicherheitskonferenz CanSecWest stattfindet, fand dieses Jahr zum zweiten Mal online statt und konnte somit von Interessenten per Livestream verfolgt werden.

Was steckt hinter dem „Hacker-Wettbewerb“?

Das Event dient zur Demonstration der Angreifbarkeit von Geräten und Software. Der Name des Wettbewerbs bedeutet In-Besitzname bzw. haken („pwn“), um es „zu“ (2 = two= to) besitzen („own“). Denn früher durften die Hacker das gekaperte Gerät anschließend behalten. In diesem Jahr waren insgesamt 23 verschiedene Teams und Sicherheitsforscher bei dem Online-Event dabei. Die Sicherheitslücken werden bei der Veranstaltung unter real anmutenden Bedingungen sowie unter Zeitdruck von den Sicherheitsforschern aufgezeigt. Diesen gelang es letzte Woche hierbei so gut wie alles zu haken, was ihnen vorgesetzt wurde – darunter beispielsweise die komplette Übernahme von Windows 10.

Was waren die diesjährigen Schwerpunkte?

Ein Schwerpunkt lag in diesem Jahr auf verschiedenen Kommunikations-Plattformen. Hierzu zählten beispielsweise Zoom, Microsoft oder Teams. Die Sicherheitsforscher erhielten für deren erfolgreiche Kompromittierung jeweils 200 000 US-Dollar. Für das Aufzeigen von Browser-Lücken in Chrome, Safari und Edge gab es immerhin 100 000 US-Dollar. Insgesamt wurde eine Rekordprämie von 1,2 Millionen US-Dollar ausbezahlt. Ein weiterer Fokus lag auf virtuellen Maschinen. Den Hackern gelang es vier unterschiedliche Möglichkeiten vorzuführen, aus einer virtuellen Parallels-Umgebung auszubrechen.

Höchste Geldsumme für gehakte Microsoft-Produkte

Zwei Forscherteams erhielten die höchste Geldsumme von 200 000 US-Dollar für das erfolgreiche Haken von Microsoft-Produkten.

  • Team Devorce: Übernahme eines Exchange-Servers, durch die Umgehung eines Authentifizierungsmechanismus und die anschließende Ausweitung der Rechte.
  • Forscher mit dem Pseudonym „OV“: Kombinierung von Bugs, um im Kontext von Microsoft Teams Code auszuführen.

Bei Windows 10 gelang es vier Angreifern mit einem Privilege Escalation Exploit ihre Rechte zu erhöhen und erhielten hierfür jeweils 30 000 US-Dollar. Bei Ubuntu gelang es immerhin drei Sicherheitsforschern Rechte zu erlangen. Hierfür gab es ebenfalls eine Prämie von 30 000 US-Dollar. Die gehackten Systeme befanden sich dabei alle auf dem neusten Stand und hatten demnach bereits alle verfügbaren Sicherheitsupdates erhalten.

Wer hat das Event gewonnen?

Zu Ende ging die „Hacker-WM“ mit einem Unentschieden zwischen den Teams Devorce, dem Forscher „OV“ sowie den Computest-Mitarbeitern Daan Keuper und Thijs Alkemade. Sie erhielten jeweils 20 „Master of Pwn“-Punkte sowie eine Prämie in Höhe von 200 000 US-Dollar. Nun müssen die Teilnehmer dem Veranstalter offenlegen, wie sie ihr Ziel bei allen demonstrierten 0-Day-Lücken erreicht haben. Als 0-Day-Lücken werden Schwachstellen bezeichnet, bei denen der Angegriffene keinerlei Zeit hatte sich beispielsweise durch das Installieren von Patches zu schützen. Die Hersteller haben nun wiederum 90 Tage Zeit, Lösungen für die Sicherheitslücken zu entwickeln und diese zu veröffentlichen. Anschließend werden die Schwachstellen von der Zero Day Initiative selbst öffentlich bekannt gegeben.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


19 − neunzehn =

Die aktuellsten telespiegel Nachrichten
Message Yourself & Communitys – das sind die neuen WhatsApp-Funktionen

Message Yourself & Communitys

Die neuen WhatsApp-Funktionen

Der beliebteste Messenger weltweit versorgt seine User erneut mit neuen Funktionen. Ein lang ersehntes Feature wird bereits in den nächsten Wochen für alle User zur Verfügung stehen. Zudem gibt es einen neuen Community-Bereich, mit dem WhatsApp-Gruppen miteinander vernetzt werden können. […]

Schutz vor Rufnummer-Manipulation – Neuregelung tritt ab morgen in Kraft

Schutz vor Rufnummer-Manipulation

Neuregelung tritt ab morgen in Kraft

Die Bundesnetzagentur schiebt dem sogenannten Spoofing einen Riegel vor. Ab dem 1. Dezember werden Verbraucher durch das Inkrafttreten einer neuen gesetzlichen Regelung besser vor Fake-Anrufen mit betrügerischer Absicht geschützt. […]

Knaller-Angebot zur Blackweek – 45 GB Datenvolumen kostenfrei bei Vodafone

Knaller-Angebot zur Blackweek

45 GB Datenvolumen kostenfrei bei Vodafone

Vodafone bietet Neukunden zur Blackweek ein Hammer-Angebot, das völlig kostenfrei und ohne Verpflichtungen genutzt werden kann. Die Aktion ist noch bis Mitte Dezember gültig und kann ganz einfach über die Webseite des Anbieters gebucht werden. […]

Nutzung steigt stetig - Gesundheits-Apps auf Rezept

Nutzung steigt stetig

Gesundheits-Apps auf Rezept

Die Digitalisierung des deutschen Gesundheitswesens scheint voranzuschreiten. Denn Gesundheits-Apps, die medizinisch verordnet werden, erfreuen sich immer größerer Beliebtheit. Die Anwendungen kommen bei den Patienten überwiegend positiv an und sind für verschiedene Gesundheitsbereiche verfügbar. […]

Ein Besteller & ein Ladenhüter - So kommen die iPhone 14 Modelle an

Ein Besteller & ein Ladenhüter

So kommen die iPhone 14 Modelle an

Ein Check der Nachfrage-Verteilung der iPhone 14-Modelle zeigt, dass eines der Geräte besonders beliebt ist, während ein anderes kaum verkauft wird. Die unterschiedliche Beliebtheit hat mittlerweile sowohl zu einem Produktionsstopp als auch zu enormen Lieferengpässen geführt. […]