zurück zum Artikel

Hacking-Wettbewerb Pwn2Own: Teams, Ubuntu und Windows 11 sind bereits gefallen Update

Dennis Schirrmacher

(Bild: Zero Day Initiative)

Sicherheitsforscher treffen sich in Vancouver, hacken sich durch populäre Anwendungen und Betriebssysteme – und streichen Geldprämien ein.

Beim Hacking-Wettbewerb Pwn2Own versuchen Sicherheitsforscher in einem festgesteckten Zeitrahmen Software über bislang unbekannte Sicherheitslücken (Zero Day) zu attackieren. Bei der aktuellen Ausgabe in Vancouver sind bereits am zweiten Tag viele bekannte Softwares und Systeme gefallen.

Laut den ersten Informationen der Veranstalter von Trend Micros Zero Day Initiative [1] haben die Teilnehmer am zweiten von drei Tagen bereits 485.000 US-Dollar an Preisgeld eingestrichen. Bislang musste die Kommunikationssoftware Teams von Microsoft dreimal dran glauben. In einem Fall konnte ein Sicherheitsforscher drei Bugs miteinander verbinden, um am Ende aus der Sandbox auszubrechen. Allein dieser Erfolg hat eine Prämie von 150.000 US-Dollar ausgelöst.

Normalerweise bekommen die Teilnehmer beim Pwn2Own-Wettberwerb das Gerät, das sie erfolgreich gehackt haben. Beim Tesla Model 3 soll das nicht der Fall sein. Mit der Prämie von 75.000 US-Dollar kann sich das Team Synacktiv aber selbst eins kaufen.

(Bild: Zero Day Initiative [2] )

Von vier Angriffsversuchen auf Windows 11 waren bis zum zweiten Tags des Wettbewerbs drei Versuche erfolgreich. Ein Teilnehmer konnte sich durch das Provozieren eines Speicherfehlers (out-of-bounds) höhere Nutzerrechte verschaffen. Das war 40.000 US-Dollar wert und es gab obendrein noch ein großes Lob von Microsoft für das begleitende Whitepaper.

Lesen Sie auch

Die Linux-Distribution Ubuntu Desktop hat es dreimal erwischt. Die Beschreibungen der Attacken lesen sich so, als hätten die Sicherheitsforscher Schadcode ausführen können. So etwas gilt als Königsdisziplin. Nach einer derartigen Attacke kompromittieren Angreifer in der Regel Systeme komplett.

Außerdem haben die Teilnehmer unter anderem noch Apples Safari, Firefox und Oracle Virtualbox erfolgreich attackiert. Zusätzlich war ein Ausbruch aus dem Sandbox-System vom Infotainment-System eines Tesla Model 3 möglich. Ein anderer Versuch ein Tesla-Modell zu hacken, schlug jedoch fehl, weil die Zeit abgelaufen ist.

Software-Hersteller haben nun 90 Tage Zeit, Sicherheitsupdates bereitzustellen. In der Regel erscheinen die Patches aber früher.

[UPDATE 20.05.2022 13:10 Uhr]

Attackierte Ubuntu-Version im Fließtext präzisiert.

(des [4])


URL dieses Artikels:
https://www.heise.de/-7101169

Links in diesem Artikel:
[1] https://www.zerodayinitiative.com/blog/2022/5/18/pwn2own-vancouver-2022-the-results#three
[2] https://www.zerodayinitiative.com/blog/2022/5/18/pwn2own-vancouver-2022-the-results#three
[3] https://www.heise.de/news/Pwn2Own-2021-Zweite-digitale-Ausgabe-des-Hacker-Wettbewerbs-in-vollem-Gange-6007203.html
[4] mailto:des@heise.de