2417344

Pwn2Own: Firefox und Edge gehackt

22.03.2019 | 09:08 Uhr | Frank Ziemann

Auch am zweiten Tag des Hacker-Wettbewerbs Pwn2Own ist es allen Teilnehmern gelungen, ihre Ziele zu erreichen. Diesmal hat es die Browser Edge und Firefox getroffen.

Im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver findet zurzeit der Hacker-Wettstreit Pwn2Own statt. Am ersten Tag, Mittwoch, gab es erfolgreiche Angriffe auf Safari, VirtualBox und VMware Workstation. Am gestrigen zweiten Tag hat der Veranstalter, die Zero Day Initiative ( @thezdi ) des Sicherheitsunternehmens Trend Micro, Attacken auf Firefox und Edge angesetzt. Für den dritten Tag steht ein Tesla Model 3 bereit. Wer an den drei Tagen die meisten Punkte sammelt, wird „Master of Pwn“.

Das Team Fluoroacetate (Amat Cama und Richard Zhu) hat auch den zweiten Tag eröffnet und Mozilla Firefox attackiert. Mit einem Bug im JIT-Compiler und einem Schreibzugriff auf den Windows-Kernel haben sich die beiden in der Wertung führenden Hacker weitere 50.000 US-Dollar sowie fünf Punkte gesichert.

Das offenbar gut vorbereitete Duo ist auch gleich noch ein zweites Mal angetreten, diesmal um Microsoft Edge zu hacken. Der Browser lief in einer virtuellen Maschine unter VMware Workstation. Den Hackern gelang es aus der VM auszubrechen und Code auf dem Hostsystem auszuführen. Das hat dem Team 130.000 Dollar Prämie sowie 13 Punkte eingebracht.

Niklas Baumstark hat sich im Anschluss ebenfalls an Firefox versucht. Auch er hat einen Bug im JIT-Compiler genutzt und mit einem Logikfehler kombiniert. So konnte sein Code aus der Browser-Sandbox ausbrechen. Dafür hat @_niklasb 40.000 Dollar und vier Punkte eingesammelt.

Den Abschluss des zweiten Tages lieferte Arthur Gerkis, Exodus Intelligence, mit einer Attacke auf Edge. Bei seiner ersten Pwn2Own-Teilnahme hat er zwei Bugs kombiniert, um die Browser-Sandbox zu umgehen. Dafür hat er 50.000 Dollar und fünf Punkte bekommen.

Nachdem am ersten Tag 240.000 Dollar Prämien ausgeschüttet worden waren, sind am zweiten Tag 270.000 Dollar hinzugekommen. Das Team Fluoroacetate liegt in der Gesamtwertung mit 33 Punkten klar vorn. Am heutigen Freitag soll endlich der Tesla attackiert werden. Dieser bietet mit mehr als 50 Steuergeräten reichlich potenzielle Angriffsflächen, etwa das Infotainment oder das Sicherheitssystem VCSEC (Vehicle Controller Secondary). Letzteres zu hacken, würde bis zu 250.000 Dollar einbringen. Wenn dies dem Team KunnaPwn gelingen sollte, könnte es den Tesla mit nach Hause nehmen. Denn Fluoroacetate sind erst danach an der Reihe – und den Tesla gewinnt, wer ihn zuerst erfolgreich angreift.

PC-WELT Marktplatz

2417344