Hacker-Wettbewerb Pwn2Own legte Schwachstellen offen

Bei der 15. Ausgabe des Hacker-Wettbewerbs Pwn2Own wurden erneut Schwachstellen in häufig genutzten Anwendungen ausfindig gemacht – unter anderem auch Software der Event-Partner Microsoft und Tesla.


Im Mai 2022 fand die 15. Ausgabe des Hacker-Wettbewerbs Pwn2Own im Rahmen der Sicherheitsconferenz CanSecWest in Vancouver, Kanada statt. Dabei forderten Unternehmen namhafte Hacker auf, nach Schwachstellen in ihren Systemen zu suchen, um diese anschließend schnell und effektiv ausbessern zu können. Die Auswahl der Zielsoftware erfolgte aus für Unternehmen und Privatpersonen besonders kritischen Bereichen. Die 17 Teilnehmer zeigten 21 Versuche, zusammen 25 bis dahin unbekannte Sicherheitslücken in den bereitgestellten Produkten auszunutzen. Bei erfolgreichen Angriffen profitierten natürlich auch die Hacker selbst: In diesem Jahr bezhalten Unternehmen insgesamt 1.155.000 US-Dollar Preisgelder. Veranstaltet wurde der Wettbewerb durch die Zero Day Initiative (ZDI) von Trend Micro.

Pwn2Own 2022: Erfolgreiche Hacker-Angriffe

Auf das Betriebssystem Windows 11 von Microsoft wurden sieben Angriffe gestartet, von welchen sechs von Erfolg gekrönt waren. Das Kommunikationsprogramm des Unternehmens, Microsoft Teams, musste ebenfalls daran glauben: Hier waren die Hacker-Angriffe in drei von vier Versuchen erfolgreich. Linux erging es im Rahmen des Pwn2Own 2022 nicht besser – alle fünf Exploit-Versuche auf das aktuelle Ubuntu Desktop waren erfolgreich.

In der Kategorie Web-Browser ist mit Manfred Paul vom Bonner RedRocket Club nur ein Teilnehmer angetreten. Er konnte zwei Schwachstellen in Firefox, einschließlich eines Sandbox-Ausbruchs, sowie eine Schwachstelle in Safari ausnutzen.

Im Automobilbereich war ein Ausbruch aus dem Sandbox-System vom Infotainment-System eines Tesla Model 3 möglich. Darüber hinaus konnten die TeilnehmerInnen unter anderem noch Oracle VirtualBox erfolgreich attackieren.

Die Software-Hersteller legte außerdem offen, der jeweiligen Schwachstellen 90 Tage Zeit, entsprechende Sicherheitsupdates bereitzustellen. In der Regel erscheinen die Patches aber früher – Mozilla hat beispielsweise noch vor Ende des Wettbewerbs Updates bereitgestellt.



Quellen: Zero Day Initiative & Windows