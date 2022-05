Beim Hacking-Wettbewerb Pwn2Own versuchen Sicherheitsforscher in einem festgesteckten Zeitrahmen Software über bislang unbekannte Sicherheitslücken (Zero Day) zu attackieren. Bei der aktuellen Ausgabe in Vancouver sind bereits am zweiten Tag viele bekannte Softwares und Systeme gefallen.

Laut den ersten Informationen der Veranstalter von Trend Micros Zero Day Initiative haben die Teilnehmer am zweiten von drei Tagen bereits 485.000 US-Dollar an Preisgeld eingestrichen. Bislang musste die Kommunikationssoftware Teams von Microsoft dreimal dran glauben. In einem Fall konnte ein Sicherheitsforscher drei Bugs miteinander verbinden, um am Ende aus der Sandbox auszubrechen. Allein dieser Erfolg hat eine Prämie von 150.000 US-Dollar ausgelöst.

Normalerweise bekommen die Teilnehmer beim Pwn2Own-Wettberwerb das Gerät, das sie erfolgreich gehackt haben. Beim Tesla Model 3 soll das nicht der Fall sein. Mit der Prämie von 75.000 US-Dollar kann sich das Team Synacktiv aber selbst eins kaufen. (Bild: Zero Day Initiative )

Erfolgreiche Attacken auf Ubuntu und Windows

Von vier Angriffsversuchen auf Windows 11 waren bis zum zweiten Tags des Wettbewerbs drei Versuche erfolgreich. Ein Teilnehmer konnte sich durch das Provozieren eines Speicherfehlers (out-of-bounds) höhere Nutzerrechte verschaffen. Das war 40.000 US-Dollar wert und es gab obendrein noch ein großes Lob von Microsoft für das begleitende Whitepaper.

Die Linux-Distribution Ubuntu hat es dreimal erwischt. Die Beschreibungen der Attacken lesen sich so, als hätten die Sicherheitsforscher Schadcode ausführen können. So etwas gilt Königsdisziplin. Nach einer derartigen Attacke kompromittieren Angreifer in der Regel Systeme komplett.

Tesla geknackt

Außerdem haben die Teilnehmer unter anderem noch Apples Safari, Firefox und Oracle Virtualbox erfolgreich attackiert. Zusätzlich war ein Ausbruch aus dem Sandbox-System vom Infotainment-System eines Tesla Model 3 möglich. Ein anderer Versuch ein Tesla-Modell zu hacken, schlug jedoch fehl, weil die Zeit abgelaufen ist.

Software-Hersteller haben nun 90 Tage Zeit, Sicherheitsupdates bereitzustellen. In der Regel erscheinen die Patches aber früher.

(des)