2494552

Pwn2Own: Hackerwettstreit per Fernbedienung

19.03.2020 | 10:11 Uhr | Frank Ziemann

Der diesjährige Hackerwettbewerb Pwn2Own findet ohne physisch anwesende Hacker statt. Am ersten Tag haben alle Teilnehmer trotz Fernsteuerung ihre Ziele gehackt, darunter Windows, Ubuntu und Safari.

Der Hackerwettbewerb Pwn2Own findet seit 2007 jährlich im März im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. In diesem Jahr waren wieder drei Tage ansetzt: 18. bis 20. März. Doch wegen der COVID-19-Pandemie hat der Ausrichter des Wettstreits, Trend Micros Zero Day Initiative (ZDI), den Austragungsmodus angepasst. Keiner der Teilnehmer ist vor Ort, alle Hackversuche werden durch ZDI-Mitarbeiter ausgeführt, die durch die Teilnehmer per Internet ferngesteuert werden.

Auch wichtige Partner der Veranstaltung, etwa Microsoft und VMware, sind nur online dabei. Sie erhalten jedoch die Informationen über die ausgenutzten Sicherheitslücken ebenso schnell und umfassend, als wären sie in Vancouver. Der für den dritten Tag ansetzte Hack eines Tesla Model 3 fällt aus, da sich offenbar niemand dafür angemeldet hat.

Wer wird in diesem Jahr „Master of Pwn“?

Am ersten Tag haben vier Hackversuche stattgefunden, jeweils mit zwei Stunden Abstand. Den Auftakt bildet ein Angriff eines dreiköpfigen Teams des Georgia Institute of Technology auf den Browser Safari unter macOS. Mit einer sechsgliedrigen Exploit-Kette ist es dem Team aus Atlanta gelungen, die Taschenrechner-App zu starten und sich root-Rechte auf dem System zu verschaffen. Dafür erhält das Trio 70.000 US-Dollar und sieben Punkte für die Master-Wertung.

Richard Zhu aus dem im Vorjahr siegreichen Team Fluoroacetate hat per Los den zweiten Startplatz erhalten. Seinen Angriff auf Windows 10 hat Zhu, der als Solist unter dem Namen Flourescence angetreten ist, mit einem Exploit für eine bis dahin nicht bekannte Use-after-free-Lücke erfolgreich abgeschlossen. Dafür gibt es 40.000 Dollar und vier Master-Punkte.

Pwn2Own Punktwertung nach dem ersten Tag
Vergrößern Pwn2Own Punktwertung nach dem ersten Tag
© Trend Micro ZDI

Manfred Paul aus dem Team RedRocket CTF hat sich die Linux-Distribution Ubuntu als Ziel gewählt. Der Pwn2Own-Neuling hat eine unzureichende Prüfung von Benutzereingaben ausgenutzt, um sich höhere Berechtigungen zu verschaffen. Er erhält 30.000 Dollar Preisgeld und drei Punkte.

Zum Abschluss des ersten Tages ist das Team der Titelverteidiger angetreten, um erneut Windows zu attackieren. Team Fluoroacetate (Amat Cama und Richard Zhu) hat sich mit einer Use-after-free-Lücke Systemrechte verschafft. Das bringt ihnen 40.000 Dollar und vier Punkte.

Heute um 18 Uhr MEZ beginnt der zweite Tag des Wettbewerbs. Auch heute wollen wieder vier Hacker oder Teams ihr Können demonstrieren. Zielscheiben sind VirtualBox, Acrobat Reader und VMware Workstation. Das Team Fluoroacetate tritt auch heute an, könnte also dem derzeit in Führung liegenden Team der Georgia Tech noch den Titel „Master of Pwn“ streitig machen und erneut gewinnen.


PC-WELT Marktplatz

2494552