Vom 22. bis 24. März haben sich Sicherheitsforscher aus aller Welt wieder beim Hacker-Wettbewerb Pwn2own im kanadischen Vancouver getroffen. Sie haben je Menge Exploits für bis dahin unbekannte Sicherheitslücken mitgebracht, um einen Anteil an den Preisgeldern zu ergattern, die Veranstalter und Sponsoren ausgelobt hatten. Letztlich hat Trend Micro ZDI mehr als eine Million US-Dollar ausgezahlt. Hinzu kommen ein Tesla Model 3 sowie die Notebooks, auf denen die anzugreifende Software installiert war.
Als Zielscheiben für die Teilnehmer hat Trend Micro ZDI Rechner mit Windows 11, macOS und Ubuntu Desktop, VirtualBox und VMware Workstation, Microsoft Teams, Sharepoint, Adobe Acrobat Reader sowie ein Tesla Model 3 bereitgestellt. Alle sind letztlich unter die Räder gekommen, auch wenn nicht jeder Versuch erfolgreich war. Die Hersteller haben nach jedem Hack die Details der Exploits erhalten, um die Lücken zu stopfen.
Zum Auftakt, die Reihenfolge wurde wie immer vorab ausgelost, hat sich Abdul Aziz Hariri aus Saudi-Arabien Adobes Acrobat Reader unter macOS vorgenommen. Er hat eine Kette aus sechs Schwachstellen ausgenutzt, um aus der Sandbox auszubrechen und eine Liste gesperrter APIs (Software-Schnittstellen) zu umgehen. Das hat ihm 50.000 Dollar Preisgeld sowie fünf Punkte im Wettbewerb um den Titel „Master of Pwn“ eingebracht.
Trend Micro ZDI / fz
Der E-Autohersteller Tesla war zum wiederholten Mal beim Pwn2own vertreten: Beim Pwn2own im Vorjahr hatte das Synacktiv-Team das Infotainment-System eines Tesla Model 3 gehackt. In diesem Jahr hat sich Synacktiv gleich am ersten Tag das Tesla-Gateway per Ethernet vorgenommen – mit Erfolg. Mit 10 Punkten und 100.000 Dollar Preisgeld haben sie die Basis für den späteren Gesamtsieg gelegt. Am zweiten Tag hat die Hacker-Truppe nachgelegt und auch das Infotainment des Tesla gehackt. Das hat ihnen weitere 25 Punkte und 250.000 Dollar eingebracht. Auch das Tesla Model 3 konnten sie, wie schon 2022, mit nach Hause nehmen.
▶Die neuesten Sicherheits-Updates
Fünf Teilnehmer haben sich an Ubuntu Desktop versucht, vier mit Erfolg. Diese Hacks haben jeweils drei Punkte und 30.000 Dollar Preisgeld eingebracht. Windows 11 ist zweimal erfolgreich gehackt worden: zuerst von Marcin Wiązowski, dann vom Synacktiv-Team, für ebenfalls je drei Punkte und 30.000 Dollar. Synacktiv hat auch macOS überlistet und weitere vier Punkte sowie 40.000 Dollar kassiert.
Insgesamt hat der Veranstalter Trend Micro ZDI Preisgelder in Höhe 1.035.000 US-Dollar zuerkannt. Mehr die Hälfte hat das Synacktiv-Team aus Frankreich eingestrichen, das sich mit 53 Punkten schon zum zweiten Mal nach 2021 den Titel „Master of Pwn“ geholt hat. Der Vorjahressieger Starlabs hat diesmal mit 19,5 Punkten den zweiten Platz belegt, gefolgt von Team Viettel mit 12 Punkten. Jetzt sind die Hersteller gefordert, die ausgenutzten Schwachstellen möglichst schnell mit Updates zu beseitigen.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.