Pwn2Own: Vier Erfolge am ersten Tag

Originalbeitrag von Dustin Childs, Zero Day Initiative

Der diesjährige Hacking-Wettbewerb Pwn2Own von der Zero Day Initiative (ZDI) von Trend Micro findet gerade in Vancouver statt. Bereits am ersten Tag gab es vier erfolgreiche Hacking-Versuche und einen zum Teil gelungenen Versuch, wobei die Teilnehmer 240.000 $ verdienten, zusätzlich zu den eingesetzten Laptops. Die Veranstaltung setzt neben traditionelleren Zielen wie Web Browser, Virtualisierungs-Server, Anwendungen und Windows RDP den verstärkten Fokus auf IoT-Geräte fort und umfasst in diesem Jahr erstmals auch eine Automotive-Kategorie.

Das erste Team Fluoroacetate (Amat Cama and Richard Zhu) hatten den Apple Safari Browser zum Ziel. Sie waren mit ihrem Hacking-Versuch erfolgreich und konnten auch der Sandbox über einen Heap Overflow entkommen. Dies brachte ihnen 55.000 $ und fünf Punkte auf dem Weg zum Master of Pwn. Im zweiten Versuch gelang dem Team auch das Knacken der Oracle VirtualBox. 35.000 $ und weitere drei Punkte waren die Belohnung dafür. Schließlich hatte das Team noch eine dritte erfolgreiche Hacking-Vorführung einer VMware Workstation für den sie nochmals 70.000 $ und sieben Punkte erhielten. Damit liegt das Team nach diesem ersten Tag vorn.

Auch den vietnamesischen Newcomern anhdaden von STAR Labs gelang das Eindringen in die Oracle VirtualBox. Auch sie konnten 35.000 $ und drei Punkte mitnehmen.

Die letzte Hacking-Vorführung dieses ersten Tages kam vom phoenhex & qwerty-Team. Sie führten eine komplette System-Kompromittierung für Apple Safari vor. Es war dennoch nur ein teilweiser Erfolg, weil apple bereits eine der Schwachstellen kannte. Dennoch erhielten sie 45.000 $ und vier Punkte.

Ziel der Wettbewerbs ist es, noch unbekannte Schwachstellen zu finden, damit die Hersteller diese fixen können. Weitere technische Einzelheiten zu den Hacking-Präsentationen liefert der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.