Pwn2Own 2021: Zweite digitale Ausgabe des Hacker-Wettbewerbs in vollem Gange

Drucken

(Bild: Pwn2Own 2021 (Screenshot))

Dieses Jahr können Interessierte im Livestream mitverfolgen, wie Teilnehmer Betriebssysteme und Software über frisch entdeckte Schwachstellen aufs Korn nehmen.

Bis einschließlich 2019 wurde der Pwn2Own-Hackerwettbewerb jeweils im Frühjahr auf der CanSecWest-Konferenz in Vancouver ausgetragen, aufgrund der Coronavirus-Pandemie aber bereits im vergangenen Jahr ins World Wide Web verlegt. Der derzeit abermals online stattfindende Pwn2Own 2021 bringt eine weitere, durchaus erfreuliche Premiere mit sich: "If you’ve ever wanted to watch Pwn2Own but couldn’t get to Vancouver, you’re in luck!", schreibt Trend Micros Zero Day Initiative (ZDI) in einem Blogeintrag – und meint damit die Möglichkeit, das Event bequem im Livestream zu verfolgen.

Der am gestrigen Dienstag gestartete Wettbewerb läuft noch bis einschließlich morgen und wird auf der Pwn2Own-Website [1], auf YouTube [2] und Twitch [3] aus Austin, Texas gestreamt. Das vollständige "Programm", also die Reihenfolge nebst voraussichtlicher Uhrzeit der insgesamt 23 Hacking-Versuche, findet man im ZDI-Blogeintrag zum Pwn2Own-Wettbewerb 2021 [4]. Achtung: Die Uhrzeiten sind in UTC-4 angegeben, so dass man jeweils sechs Stunden aufrechnen muss. Am heutigen Mittwoch hat das Event gemäß unserer Zeitzone um 15 Uhr begonnen.

Pwn2Own 21: Via YouTube kann man drei Tage lang beim Hacken zuschauen.

YouTube

Am ersten Wettbewerbstag traten insgesamt sieben Teams oder Einzelpersonen an und räumten Prämien von insgesamt 570.000 US-Dollar ab. Zwei Exploit-Versuche, beide aus der Kategorie "Virtualization" (Parallels Desktop und Oracle VirtualBox) schlugen fehl; die übrigen gelangen.

Die höchsten Geldsummen, je 200.000 US-Dollar, wurden an zwei Forscher-Teams ausgezahlt, die erfolgreich Microsoft-Produkte attackierten: Dem Team des Unternehmens Devcore gelang es, einen Exchange-Server zu übernehmen, indem es zunächst erfolgreich Authentifizierungsmechanismen umging (authentication bypass) und dann seine Rechte ausweitete (local privilege escalation).

Dies ist nicht Devcores erster Lückenfund in Exchange Server: Das Team hatte im Dezember 2020 die als ProxyLogon bezeichnete Schwachstelle CVE-2021-26855 entdeckt – eine der Exchange-Lücken, die erst kürzlich im großen Stil ausgenutzt und von Microsoft Anfang März außer der Reihe gepatcht [5] wurden.

Der gestrige Microsoft-Hack Nummer 2 gelang einem Forscher mit dem Pseudonym "OV": Er kombinierte Bugs, um im Kontext von Microsoft Teams Code auszuführen. Weitere Ziele erfolgreicher Angriffe waren Apples Safari-Browser – über Umwege gelang hier die Codeausführung auf Kernel-Ebene –, Windows 10 (local privilege escalation) und Ubuntu Desktop (ebenfalls local privilege escalation).


URL dieses Artikels:
https://www.heise.de/-6007203

Links in diesem Artikel:
[1] https://www.pscp.tv/w/1lDxLpXEqeQxm
[2] https://youtu.be/dA3aIMgRFY8
[3] https://www.twitch.tv/trendmicro_events
[4] https://www.zerodayinitiative.com/blog/2021/4/2/pwn2own-2021-schedule-and-live-results
[5] https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exchange-Server-5070309.html
[6] mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Copyright © 2021 Heise Medien



Read full article on Heise