Pwn2Own 2021: Zweite digitale Ausgabe des Hacker-Wettbewerbs in vollem Gange

(Bild: Pwn2Own 2021 (Screenshot))

Dieses Jahr können Interessierte im Livestream mitverfolgen, wie Teilnehmer Betriebssysteme und Software über frisch entdeckte Schwachstellen aufs Korn nehmen.

Bis einschließlich 2019 wurde der Pwn2Own-Hackerwettbewerb jeweils im Frühjahr auf der CanSecWest-Konferenz in Vancouver ausgetragen, aufgrund der Coronavirus-Pandemie aber bereits im vergangenen Jahr ins World Wide Web verlegt. Der derzeit abermals online stattfindende Pwn2Own 2021 bringt eine weitere, durchaus erfreuliche Premiere mit sich: "If you’ve ever wanted to watch Pwn2Own but couldn’t get to Vancouver, you’re in luck!", schreibt Trend Micros Zero Day Initiative (ZDI) in einem Blogeintrag – und meint damit die Möglichkeit, das Event bequem im Livestream zu verfolgen.

Der am gestrigen Dienstag gestartete Wettbewerb läuft noch bis einschließlich morgen und wird auf der Pwn2Own-Website [1], auf YouTube [2] und Twitch [3] aus Austin, Texas gestreamt. Das vollständige "Programm", also die Reihenfolge nebst voraussichtlicher Uhrzeit der insgesamt 23 Hacking-Versuche, findet man im ZDI-Blogeintrag zum Pwn2Own-Wettbewerb 2021 [4]. Achtung: Die Uhrzeiten sind in UTC-4 angegeben, so dass man jeweils sechs Stunden aufrechnen muss. Am heutigen Mittwoch hat das Event gemäß unserer Zeitzone um 15 Uhr begonnen.

Pwn2Own 21: Via YouTube kann man drei Tage lang beim Hacken zuschauen.

YouTube

Am ersten Wettbewerbstag traten insgesamt sieben Teams oder Einzelpersonen an und räumten Prämien von insgesamt 570.000 US-Dollar ab. Zwei Exploit-Versuche, beide aus der Kategorie "Virtualization" (Parallels Desktop und Oracle VirtualBox) schlugen fehl; die übrigen gelangen.

Die höchsten Geldsummen, je 200.000 US-Dollar, wurden an zwei Forscher-Teams ausgezahlt, die erfolgreich Microsoft-Produkte attackierten: Dem Team des Unternehmens Devcore gelang es, einen Exchange-Server zu übernehmen, indem es zunächst erfolgreich Authentifizierungsmechanismen umging (authentication bypass) und dann seine Rechte ausweitete (local privilege escalation).

Dies ist nicht Devcores erster Lückenfund in Exchange Server: Das Team hatte im Dezember 2020 die als ProxyLogon bezeichnete Schwachstelle CVE-2021-26855 entdeckt – eine der Exchange-Lücken, die erst kürzlich im großen Stil ausgenutzt und von Microsoft Anfang März außer der Reihe gepatcht [5] wurden.

Der gestrige Microsoft-Hack Nummer 2 gelang einem Forscher mit dem Pseudonym "OV": Er kombinierte Bugs, um im Kontext von Microsoft Teams Code auszuführen. Weitere Ziele erfolgreicher Angriffe waren Apples Safari-Browser – über Umwege gelang hier die Codeausführung auf Kernel-Ebene –, Windows 10 (local privilege escalation) und Ubuntu Desktop (ebenfalls local privilege escalation).


URL dieses Artikels:
https://www.heise.de/-6007203

Links in diesem Artikel:
[1] https://www.pscp.tv/w/1lDxLpXEqeQxm
[2] https://youtu.be/dA3aIMgRFY8
[3] https://www.twitch.tv/trendmicro_events
[4] https://www.zerodayinitiative.com/blog/2021/4/2/pwn2own-2021-schedule-and-live-results
[5] https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exchange-Server-5070309.html
[6] mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Copyright © 2021 Heise Medien



Read full article on Heise


Registrieren

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.