Bereits am ersten Tag des jährlich in Vancouver stattfindenden Hacker-Wettbewerbs Pwn2own hatten Sicherheitsforscher fast alle bereit gestellten Ziele abgeschossen. Nur Chrome und Java blieben unangetastet. Am gestrigen zweiten Tag ist auch Chrome gehackt worden – gleich zweimal. Seinen am Vortag zurück gezogenen Java-Exploit behielt das französische VUPEN-Team auch am letzten Wettbewerbstag für sich. Der zweite Tag begann mit einer erfolgreichen Attacke des chinesischen Keen-Teams auf Apple Safari auf einem Mac mit OS X Mavericks. VUPEN blies daraufhin seinen Safari-Angriff ab. Der Koreaner Jung Hoon Lee, wegen seines Militärdienstes nicht selbst vor Ort, ließ Stellvertreter einen Exploit-Versuch gegen den Internet Explorer 11 vorführen, der jedoch scheiterte. George Hotz , als “Playstation-Hacker” bekannt geworden, konnte im Anschluss den vierten erfolgreichen Angriff auf Firefox in diesem Wettbewerb demonstrieren. Danach kam der Internet Explorer doch unter die Räder. Sebastian Apelt und Andreas Schmidt, die beiden Inhaber des Sicherheitsunternehmens Siberas in Winnenden, haben drei Sicherheitslücken kombiniert, um letztlich den Windows-Taschenrechner zu starten. Dafür erhalten sie 100.000 US-Dollar Preisgeld und das Notebook, auf dem sie den Angriff vorgeführt haben. Das VUPEN-Team um CEO Chaouki Bekrar zeigte anschließend, wie man Lücken in Blink und Webkit mit einer weiteren Chrome-Lücke kombinieren kann, um an der Browser-Sandbox vorbei Code auf dem Zielsystem ausführen zu können. Ein anonym gebliebener Teilnehmer ließ einen Stellvertreter (“Proxy”) ebenfalls Chrome attackieren. Der erfolgreiche Exploit wurde allerdings nur als Teilerfolg gewertet, da eine der dabei ausgenutzten Schwachstellen bereits zuvor bei Googles eigenem Wettbewerb “Pwnium” gezeigt worden war. Das Keen-Team aus China setzte mit einem Flash-Exploit den Schlusspunkt des Wettbewerbs. Die Sponsoren HP und Google haben den Teilnehmern Preisgelder in einer Gesamthöhe von 850.000 US-Dollar zuerkannt. Außerdem erhält jeder erfolgreiche Hacker das Gerät, auf dem der Angriff demonstriert wurde und 20.000 Punkte für das Bug-Bounty Programm der HP-Tochter ZDI (Zero Day Initiative). Neben weiteren Sachpreisen haben HP und Google zudem 82.500 US-Dollar an das Rote Kreuz Kanadas gespendet. Die ausgenutzten Sicherheitslücken werden zwar nicht veröffentlicht, doch an die betroffenen Hersteller übergeben. Diese werden die Schwachstellen mit zukünftigen Software-Updates beheben. Google und Mozilla hatten in den letzten Jahren die Pwn2own-Lücken in Chrome und Firefox bereits innerhalb eines Tages geschlossen, bei Microsoft wird es wohl mindestens bis zum nächsten Patch Day am 8. April dauern.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.