Bereits zum 15. Mal fand Ende letzter Woche der Hacker-Wettbewerb Pwn2Own im kanadischen Vancouver statt. Veranstalter war Trend Micros Zero Day Initiative (ZDI), unterstützt durch Partner und Sponsoren wie Microsoft, Tesla, Zoom und VMware. Die 17 Teilnehmer zeigten 21 Versuche, zusammen 25 bis dahin unbekannte Sicherheitslücken in den bereitgestellten Produkten auszunutzen. Fast alle Versuche waren erfolgreich und so wurden Preisgelder in Höhe von insgesamt 1.155.000 US-Dollar ausgezahlt.
Eines der Hauptziele der Hacker war Microsoft Teams. Vier der teilnehmenden Gruppen und Einzelpersonen haben sich daran versucht und drei waren auch erfolgreich. Mit zusammen 450.000 Dollar sind für Teams-Hacks mehr als ein Drittel der Preisgelder verteilt worden. Auch Windows 11 kam mehrfach unter die Räder. Von sieben Versuchen haben sechs geklappt und jeweils 40.000 Dollar Preisgeld eingebracht.
Linux war als Zielscheibe ebenfalls vertreten, genauer das aktuelle Ubuntu Desktop. Hier waren alle fünf Exploit-Versuche von Erfolg gekrönt und ergaben insgesamt 200.000 Dollar Preisgeld. An VirtualBox hat sich nur das STAR Labs Team versucht und für seinen Hack 40.000 Dollar kassiert.
▶Die neuesten Sicherheits-Updates
In der Kategorie Web-Browser ist lediglich Manfred Paul (@_manfp) vom Bonner RedRocket Club angetreten, allerdings ohne selbst vor Ort zu sein. Paul nutzte zwei Schwachstellen in Firefox, einschließlich eines Sandbox-Ausbruchs, sowie eine in Safari, um 150.000 Dollar zu gewinnen. Mozilla hat wie immer sehr schnell reagiert und bereits am Freitag, noch vor Ende des Wettbewerbs, Sicherheits-Updates (Firefox 100.0.2, Firefox EST 91.9.1) bereitgestellt, um die Schwachstellen zu beseitigen. Apple hatte noch kurz vor dem Wettbewerb ein Update auf Safari 15.5 veröffentlicht.

©Trend Micro ZDI
Das auf Chromium basierende Infotainment-System des Tesla Model 3 hatte dem Synacktiv Team nicht viel entgegenzusetzen. Sie kombinierten zwei neue Bugs mit einem bekannten Sandbox-Ausbruch und erhielten dafür 75.000 Dollar. Sie brauchten nur gut eine Minute. Die beiden Franzosen waren vor Ort und konnten später, zur Demonstration, mit dem Notebook neben dem Fahrzeug stehend, die Scheibenwischer und das Licht einschalten sowie die Motorhaube entriegeln. Der zweite Teilnehmer, der sich am Tesla versucht hatte, scheiterte am Zeitlimit. Immerhin hat ZDI den Exploit gekauft, um ihn an Tesla weiterzureichen.
Master of Pwn
Das STAR Labs Team aus Singapur hatte die meisten Exploits mitgebracht. Sie hackten Microsoft Teams, Windows 11, Ubuntu und VirtualBox. Das brachte ihnen den Gesamtsieg beim Wettbewerb, den Titel „Master of Pwn“ und insgesamt 270.000 Dollar Preisgeld ein. Auf den Plätzen landeten drei Teilnehmer mit jeweils 150.000 Dollar Preisgeld, darunter Manfred Paul. Traditionell gewinnen die Teilnehmer auch noch die Geräte, auf den die erfolgreichen Exploits ausgeführt wurden.
Zum Pwn2Own-Wettbewerb gehört, dass alle Informationen zu den benutzten Exploits noch vor Ort an die Produkthersteller übergeben werden. Diese haben dann 90 Tage Zeit, um die Lücken zu stopfen, bevor ZDI die Details veröffentlicht.