Pwn2Own 2020: Erste digitale Ausgabe mit fast durchweg gelungenen Hacks

Beim erstmals komplett online ausgetragenen Pwn2Own wurden unter anderem Windows, macOS und Ubuntu erfolgreich attackiert.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 20 Beiträge

(Bild: Zero Day Initiative)

Von

Eigentlich sollte der Hackerwettbewerb Pwn2Own (beziehungsweise dessen Frühlingsausgabe) wieder wie gewohnt im Rahmen der CanSecWest-Konferenz in Vancouver ausgetragen werden. Angesichts der aktuellen Situation fand die CanSecWest allerdings online statt – und so beschloss auch die Zero Day Initative (ZDI) kurzerhand, ihren Contest erstmals in den virtuellen Raum zu verlegen.

Hacking im Team von Zuhause: Der VMWare-Exploit des sympathischen "Synacktiv"-Teams misslang.

(Bild: ZDI via Twitter)

Am 18. und 19. März stellten sechs Teams online insgesamt siebenmal erfolgreich ihr Können unter Beweis. Sie attackierten diverse Zero-Day-Schwachstellen in den Betriebssystemen Windows, macOS, in der Linux-Distribution Ubuntu (Desktop) und in der Virtualisierungslösung Oracle VirtualBox.

In zwei Fällen wurden Betriebssystem-Schwachstellen über den Umweg von Anwendungen, nämlich den Safari Browser für macOS und den Adobe Reader unter Windows, ausgenutzt.

Einzig ein "Ausbruchsversuch" aus der VMware Workstation an Tag 2 des Wettbewerbs misslang – zumindest in der Live-Situation: Das betreffende Team habe es nicht geschafft, den Angriff innerhalb der zugeteilten Zeitspanne durchzuführen, heißt es dazu in einem Blogeintrag der ZDI mit Zeitplan und Ergebnissen des Wettbewerbs.

Insgesamt zahlte die ZDI 270.000 US-Dollar an die Teams aus. Der höchste Einzelbetrag floss an das Team der Georgia Tech University für einen Angriff auf den macOS-Kernel via Safari mit daraus resultierenden Root-Rechten (70.000 US-Dollar). Immerhin 50.000 US-Dollar strich das zweiköpfige "Fluoroacetate"-Team für die Übernahme eines Windows-Systems durch das Kombinieren einer Kernel- und einer Adobe-Reader-Schwachstelle ein.

Am Ende des zweiten Tages stand denn auch Fluoroacetate mit 9 Punkten (vor Georgia Tech mit 7 und zwei Teams bzw. Einzelkämpfern mit je 4 Punkten) als Pwn2Own-Gewinner ("Master of Pwn") 2020 fest.

ZDI bedankte sich beim Sponsor Vmware sowie bei Microsoft als Partner. Mitarbeiter beider Unternehmen seien, wie auch einige weitere von den Schwachstellen betroffene Hersteller, online beim Wettbewerb dabei gewesen.

Bezüglich der Weitergabe relevanter Informationen an die Hersteller hatte ZDI schon vorab mitgeteilt, dass dies wie gewohnt vonstatten gehe, damit im Rahmen einer Responsible Disclosure zeitnah Sicherheitsupdates entwickelt und veröffentlicht werden können.

Update 20.03.20, 18:20: Flüchtigkeitsfehler korrigiert. Danke für den Hinweis. (ovw)