Sonderthema

Hacker-Elite trifft sich zum Pwn2Own

Preisgelder für Sicherheitslücken beim Frühjahrswettbewerb der Zero Day Initiative knacken beinah 1 Million Euro

Erstklassige Hacker – sogenannte White-Hat-Hacker, die ihre Fähigkeiten und Kenntnisse dazu nutzen, Sicherheitslücken in Systemen zu finden und Unternehmen oder Organisationen vor Cyberangriffen zu schützen – haben ihre Fähigkeiten beim Frühjahrswettbewerb Pwn2Own unter Beweis gestellt und sich in weltweit führende Produkte gehackt.

Erstklassige Hacker – sogenannte White-Hat-Hacker, die ihre Fähigkeiten und Kenntnisse dazu nutzen, Sicherheitslücken in Systemen zu finden und Unternehmen oder Organisationen vor Cyberangriffen zu schützen – haben ihre Fähigkeiten beim Frühjahrswettbewerb Pwn2Own unter Beweis gestellt und sich in weltweit führende Produkte gehackt. Beim Pwn2Own Hacking-Wettbewerb 2023 in Vancouver wurden Schwachstellen in Microsoft Windows 11, Microsoft SharePoint, Ubuntu Desktop, Apple macOS, Tesla Gateway, Adobe Reader und Oracle VirtualBox gehackt.

Insgesamt sind bei der diesjährigen Challenge 27 zuvor unbekannte Zero-Day-Schwachstellen aufgedeckt worden. Die Anbieter können die Sicherheitslücken nun schließen, noch bevor sich Cyber-Kriminelle die Schwachstellen zunutze machen. Organisiert wurde der Hacking-Wettbewerb wieder von der seit 2005 bestehenden Zero Day Initiative, hinter der der Cybersicherheitsanbieter Trend Micro steht. In den Wettbewerben messen sich regelmäßig einige der besten Hacking-Teams der Welt, präsentieren noch unentdeckte „Zero-Day“-Exploits und nehmen sich vorgegebene technische Ziele vor. So ist etwa das Hacken von Fahrzeugen mittlerweile ein fester Bestandteil des Events.

Auch in diesem Jahr beteiligte sich unter anderen der Autohersteller Tesla an der Pwn2Own-Hacking-Konferenz und bot hohe Preisgelder sowie das jeweilige Elektroauto als Belohnung für erfolgreiche Hackerangriffe an. Der US-Autobauer hat in den letzten Jahren massiv in Cyber-Sicherheit investiert und dafür eng mit sogenannten White-Hat-Hackern zusammengearbeitet. Nun hat die Zero Day Initiative bekannt gegeben, dass auch in diesem Jahr ein Tesla, ein Model 3, erfolgreich gehackt wurde. Als Belohnung für das Aufdecken einer Sicherheitslücke im Tesla Gateway erhielten die White-Hat-Hacker von Synacktiv 100.000 Dollar sowie gemäß dem Motto des Wettbewerbs Pwn2Own auch das von ihnen gehackte Fahrzeug.

Damit nicht genug, präsentierten zwei Teammitglieder von Synacktiv einen weiteren Angriff auf das Tesla Infotainment-System, bei dem sie Root-Zugriff auf das System erhielten, nachdem sie einen Heap-Überlauf mit einem Out-of-Bounds-Schreibfehler kombiniert hatten. Ihre Präsentation qualifizierte sie für einen Tier-2-Preis, mit dem besonders gravierende Schwachstellen und Exploits belohnt werden – was Ihnen ein Preisgeld von 250.000 Dollar einbrachte. Laut Synacktiv lassen sich die Bugs im Infotainment-System mit dem Angriff auf das Tesla Gateway kombinieren, um die vollständige Kontrolle über ein Fahrzeug zu erhalten. Die Verantwortlichen von Pwn2Own bestätigten, dass Synacktiv beim Angriff gegen Tesla Gateway unter anderem einen TOCTTOU-Exploit verwendet habe. TOCTTOU (Time-of-check-to-time-of-use) ist ein dateibasiertes Race-Condition-Problem, bei dem eine Ressource auf einen bestimmten Wert geprüft wird, der sich jedoch ändert, bevor die Ressource verwendet wird.

Master of Pwn – und damit Gesamtsieger der Hacking-Challenge – ist damit Synacktiv mit der höchsten Punktwertung (53 Punkte), insgesamt umgerechnet 500.000 Euro an Preisgeldern, einem Tesla Model 3 und dem Siegerbonus von umgerechnet 23.000 Euro. 180.000 Euro Preisgeld sicherte sich das Team des aus Singapur stammenden Sicherheitsanbieters Starlabs, unter anderem mit dem Aufdecken von zwei Schwachstellen in Microsoft SharePoint mittels einer 2-Bug-Chain. Die White-Hat-Hacker des Teams Viettel gingen mit 100.000 Euro Prämien nach Hause und konnten allein für eine erfolgreich 2-Bug-Chain, mit der sie Microsoft Teams kompromittierten, ein Preisgeld von 70.000 Euro einstreichen. Den Effekt einer 6-Bug-Chain demonstrierte AbdulAziz Hariri beim Adobe Reader und erhielt dafür ein Preisgeld von mehr als 45.000 Euro. Bien Pham von Qrious Security wurde mit 50.000 Euro für die Demonstration der Anfälligkeit der Oracle VirtualBox belohnt. Während des Wettbewerbs deckten Teilnehmer außerdem Schwachstellen in Windows 11, macOS und Ubuntu auf.

„Pwn2Own hat wieder einmal gezeigt,“ erklärt Brian Gorenc, Vice President of Threat Research bei Trend Micro, „dass der reale Nutzen für Unternehmen und ihre Kunden viel mehr wert ist als die von uns vergebenen Preisgelder. Herzlichen Glückwunsch unter anderem an das Team von Synacktiv für die monatelange Arbeit im Vorfeld dieser Veranstaltung.“ Insbesondere verwies Gorenc auf die sich dynamisch erhöhenden Sicherheitsanforderungen, die sich mit der zunehmenden Vernetzung unserer digitalen Welt, Stichwort Internet der Dinge etc., stellen. „Vernetzte Technologien stellen den Innovationskern moderner Fahrzeuge und des hybriden Arbeitsplatzes dar. Je mehr neue Schwachstellen wir aufdecken, desto besser“, so Gorenc. Die Zero Day Initiative hat daher beschlossen, dass der nächste Pwn2Own-Wettbewerb bereits im Oktober – und in Toronto – stattfinden wird.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben