Vergangene Woche fand das dreitägige Event Pwn2Own statt, bei dem Hacker jährlich Sicherheitslücken in wichtigen IT-Produkten präsentieren und hierfür Prämien erhalten. Der Wettbewerb, der für Gewöhnlich auf der Sicherheitskonferenz CanSecWest stattfindet, fand dieses Jahr zum zweiten Mal online statt und konnte somit von Interessenten per Livestream verfolgt werden.
Was steckt hinter dem „Hacker-Wettbewerb“?
Das Event dient zur Demonstration der Angreifbarkeit von Geräten und Software. Der Name des Wettbewerbs bedeutet In-Besitzname bzw. haken („pwn“), um es „zu“ (2 = two= to) besitzen („own“). Denn früher durften die Hacker das gekaperte Gerät anschließend behalten. In diesem Jahr waren insgesamt 23 verschiedene Teams und Sicherheitsforscher bei dem Online-Event dabei. Die Sicherheitslücken werden bei der Veranstaltung unter real anmutenden Bedingungen sowie unter Zeitdruck von den Sicherheitsforschern aufgezeigt. Diesen gelang es letzte Woche hierbei so gut wie alles zu haken, was ihnen vorgesetzt wurde – darunter beispielsweise die komplette Übernahme von Windows 10.
Was waren die diesjährigen Schwerpunkte?
Ein Schwerpunkt lag in diesem Jahr auf verschiedenen Kommunikations-Plattformen. Hierzu zählten beispielsweise Zoom, Microsoft oder Teams. Die Sicherheitsforscher erhielten für deren erfolgreiche Kompromittierung jeweils 200 000 US-Dollar. Für das Aufzeigen von Browser-Lücken in Chrome, Safari und Edge gab es immerhin 100 000 US-Dollar. Insgesamt wurde eine Rekordprämie von 1,2 Millionen US-Dollar ausbezahlt. Ein weiterer Fokus lag auf virtuellen Maschinen. Den Hackern gelang es vier unterschiedliche Möglichkeiten vorzuführen, aus einer virtuellen Parallels-Umgebung auszubrechen.
Höchste Geldsumme für gehakte Microsoft-Produkte
Zwei Forscherteams erhielten die höchste Geldsumme von 200 000 US-Dollar für das erfolgreiche Haken von Microsoft-Produkten.
- Team Devorce: Übernahme eines Exchange-Servers, durch die Umgehung eines Authentifizierungsmechanismus und die anschließende Ausweitung der Rechte.
- Forscher mit dem Pseudonym „OV“: Kombinierung von Bugs, um im Kontext von Microsoft Teams Code auszuführen.
Bei Windows 10 gelang es vier Angreifern mit einem Privilege Escalation Exploit ihre Rechte zu erhöhen und erhielten hierfür jeweils 30 000 US-Dollar. Bei Ubuntu gelang es immerhin drei Sicherheitsforschern Rechte zu erlangen. Hierfür gab es ebenfalls eine Prämie von 30 000 US-Dollar. Die gehackten Systeme befanden sich dabei alle auf dem neusten Stand und hatten demnach bereits alle verfügbaren Sicherheitsupdates erhalten.
Wer hat das Event gewonnen?
Zu Ende ging die „Hacker-WM“ mit einem Unentschieden zwischen den Teams Devorce, dem Forscher „OV“ sowie den Computest-Mitarbeitern Daan Keuper und Thijs Alkemade. Sie erhielten jeweils 20 „Master of Pwn“-Punkte sowie eine Prämie in Höhe von 200 000 US-Dollar. Nun müssen die Teilnehmer dem Veranstalter offenlegen, wie sie ihr Ziel bei allen demonstrierten 0-Day-Lücken erreicht haben. Als 0-Day-Lücken werden Schwachstellen bezeichnet, bei denen der Angegriffene keinerlei Zeit hatte sich beispielsweise durch das Installieren von Patches zu schützen. Die Hersteller haben nun wiederum 90 Tage Zeit, Lösungen für die Sicherheitslücken zu entwickeln und diese zu veröffentlichen. Anschließend werden die Schwachstellen von der Zero Day Initiative selbst öffentlich bekannt gegeben.
Hinterlasse jetzt einen Kommentar